Embed Size (px)
Citation preview
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 1/73
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 2/73
Ele escreveu o primeiro cdigo #ue fez o servidor Unix aparecer como um servidor de ar#uivos 1indo2s para sua m$#uina ;%' #ue foi publicado mais ou menos em meados de >??9 #uando também começou areceber patches. 'atisfeito com o funcionamento de seu trabalho, deixou seu trabalho de lado por #uase 9anos. Um dia, ele resolveu testar a m$#uina 1indo2s de sua esposa com sua m$#uina 6inux, e ficoumaravilhado com o funcionamento do programa #ue criou e veio a descobrir #ue o protocolo eradocumentado e resolveu levar este trabalho a fundo melhorando e implementando novas funções.
% '8()8 atualmente é um servidor fundamental para a migração de pe#uenos grupos de trabalho @grandes domínios com clientes mixtos. 0enhum servidor de rede 0et)EU- conhecido proporciona tantaflexibilidade de acesso a clientes como o '8()8 para compartilhamento de ar#uivos+impressão em rede.8s funções de segurança #ue foram adicionadas ao '8()8 ho&e garantem um controle mais rigoroso #ue a
prpria implementação usada no 1indo2s 0:, incluindo o serviços de diretrios, mapeamento entre -;s deusu$rios 1indo2s com 6inux, A;, perfis mveis e uma coisa #ue inclusive apresenta problemas no1indo2s< compatibilidade total entre as diferentes implementações de versões do 1indo2s.
'ua configuração pode receber a&ustes finos pelo administrador nos so#uetes :A de transmissão, recepção,cache por compartilhamento, configurações físicas #ue afetam a performance de rede. 'eu cdigo vemsendo melhorado constantemente por hac*ers, obtendo excelente performance com hard2ares mais
obsoletos. % guia tem por ob&etivo abordar estes temas e permitir #ue voc4 configure seu sistema com uma performance batendo a mesma alcançada em um servidor 0: dedicado.
18.1.( Contri)uindo
Aara contribuir com o desenvolvimento do samba, ve&a os detalhes na p$gina<http<++us>.samba.org+samba+devel+
aso encontre um bug no programa, ele poder$ ser relatado se inscrevendo na lista de discussão samba7
technical7re#uestBlists.samba.org. 8ps responder a mensagem de confirmação, envie um relato detalhadodo problema encontrado no programa.
18.1.* Caract"rí#tica#
'egue abaixo algumas funcionalidades importantes de aplicações do samba e seu con&unto de ferramentas<
• ompartilhamento de ar#uivos entre m$#uinas Windows e Linux ou de m$#uinas Linux !sendo o
servidor '8()8" com outro '% #ue tenha um cliente 0et)EU- !(acintosh, %'+9, 6an(anager,etc".• (ontar um servidor de compartilhamento de impressão no Linux #ue receber$ a impressão de outras
m$#uinas Windows da rede.
• ontrole de acesso aos recursos compartilhados no servidor através de diversos métodos!compartilhamento, usu$rio, domínio, servidor".
• ontrole de acesso leitura+gravação por compartilhamento.
• ontrole de acesso de leitura+gravação por usu$rio autenticado.
• Aossibilidade de definir contas de ConvidadosC, #ue podem se conectar sem fornecer senha.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 3/73
• Aossibilidade de uso do banco de dados de senha do sistema !/et%/&'sswd", autenticação usando oar#uivo de dados criptografados do samba, 6;8A, A8(, etc.
• ontrole de cache e opções de tunning por compartilhamento.
• Aermite ocultar o conte=do de determinados diretrios #ue não #uer #ue se&am exibidos ao usu$riode forma f$cil.
• Aossui configuração bastante flexível com relação ao mapeamento de nomes ;%' D U0-3 e viceversa, p$gina de cdigo, acentuação, etc.
• Aermite o uso de aliases na rede para identificar uma m$#uina com outro nome e simular uma rede 0et)-%' virtual.
• % s'()' possibilita a&uste fino nas configurações de transmissão e recepção dos pacotes :A+-A,como forma de garantir a melhor performance possível de acordo com suas instalações.
• Aermite o uso do gerenciador de mensagem do 6inux !Lin&o&u&" para a troca de mensagens com
estações Windows via NetBios. om a flexibilidade do s'()' é possível até redirecionar amensagem recebida via e7mail ou pager.
• Aossui suporte completo a servidor 1-0' !também chamado de NBNS 7 NetBios Name Service" derede. 8 configuração é bastante f$cil.
• az auditoria tanto dos acessos a pes#uisa de nomes na rede como acesso a compartilhamentos. Entreos detalhes salvos estão a data de acesso, -A de origem, etc.
• 'uporte completo a controlador de domínio 1indo2s !A;".
• 'uporte #uase completo a bac*up do controlador de domínio !);". 8té a versão 9.9 do s'()', osuporte a ); é parcial. Este cdigo provavelmente estar$ est$vel até a versão F.G.
• Aermite montar unidades mapeadas de sistemas Windows ou outros servidores Linux como umdiretrio no Linux.
• Aermite a configuração de recursos simples através de programas de configuração gr$ficos, tanto viasistema, como via 2eb.
• Aermite executar comandos no acesso ao compartilhamento ou #uando o acesso ao
compartilhamento é finalizado.
• om um pouco de conhecimento e habilidade de administração de sistemas Linux, é possível criarambientes de auditoria e monitoração até monitoração de acesso a compartilhamento em tempo real.
• Entre outras possibilidades.
18.1.+ Fic,a tcnica
Aacote s'()'
%utros utilit$rios importantes para a operação do clientes s'()'.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 4/73
• s()%*ient 7 erramenta para navegação e gerenciamento de ar#uivos, diretrios e impressorascompartilhados por servidores Windows ou s'()'.
• s()+s 7 Aacote #ue possui ferramentas para o mapeamento de ar#uivos e diretrios compartilhados por servidores Windows ou s'()' em um diretrio local.
• win)ind 7 ;aemon #ue resolve nomes de usu$rios e grupo através de um servidor 0:+'8()8 emapeia os U-;s+5-;s deste servidor como usu$rios locais.
18.1. "0u"ri$"nto# d" &ardar"
Arocessador FHI ou superior, >J () de espaço em disco !não levando em conta os logs gerados e espaço para ar#uivos de usu$rios, aplicativos, etc.", H () de memria K8(.
18.1.2 Ar0ui3o# d" lo4 criado#
% daemon nmbd salva seus logs em +var+log+daemon.log !dependendo da diretiva de configuração syslog doar#uivo smb.conf" e em /'-/*o/s'()'/*o.n()d. %s detalhes de acesso a compartilhamento sãogravados no ar#uivo /'-/*o/s'()'/*o.s()d !#ue pode ser modificado de acordo com a diretiva log
file no s().%on+, 6og de acessos+serviços, 'eção >H.9.H.J".
18.1.8 In#talaço
;igite '&tet inst'** s'()' s()%*ient s()+s para instalar o con&unto de aplicativos samba.% pacote s'()' é o servidor samba e os pacotes s()%*ient e s()+s fazem parte dos aplicativos cliente.aso dese&e apenas mapear compartilhamentos remotos na m$#uina 6inux, instale somente os 9 =ltimos
pacotes.
18.1.5 Iniciando o #"r3idor/r"iniciando/r"carr"4ando a con6i4uraço
% servidor samba pode ser executado tanto via inetd como daemon<
inetd
0o modo inetd, o servidor de nomes nmbd ser$ carregado assim #ue for feita a primeira re#uisiçãode pes#uisa e ficar$ residente na memria. 0o caso de acesso a um compartilhamento, o smbd ser$carregado e ler$ a configuração em s().%on+ a cada acesso do cliente a um compartilhamento.Luando o s'()' opera via inetd, ele não usa o controle de acesso dos ar#uivos 0osts.'**ow e0osts.den. Me&a Kestringindo o acesso por -A+rede, 'eção >H.>9.9 e Kestringindo o acesso porinterface de rede, 'eção >H.>9.F para detalhes de como fazer o controle de acesso.
Aara reiniciar o samba digite 2i**'** U# n()d. 0ão é necess$rio reiniciar o serviço s()d,
conforme foi explicado acima.
daemon
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 5/73
Luando opera no modo daemon, ambos os daemons n()d e s()d são carregados. 0o caso de umacesso a compartilhamento, é criado um processo filho do s()d #ue é finalizado assim #ue ocompartilhamento não for mais usado.
Aara iniciar o samba em modo d'e(on digite< /et%/init.d/s'()' st'-t, para interrompero samba< /et%/init.d/s'()' sto& e para reiniciar< /et%/init.d/s'()' -est'-t.
'e dese&ar mudar do modo daemon para inetd ou vice versa, edite o ar#uivo /et%/de+'u*t/s'()' emodifi#ue o valor da linha RUN4MOE6 para d'e(ons ou inetd. Uma forma de fazer issoautomaticamente é executando o d&2-e%on+iu-e s'()'.
7BS omo praticamente não existe diferença entre os modos de operação inetd e daemon para o SAMBA, éaconselh$vel #ue execute sempre #ue possível via inetd , pois isto garantir$ uma disponibilidade maior doserviço caso algo aconteça com um dos processos.
18.1.19 7pç:"# d" lin,a d" co$ando
%pções de linha de comando usadas pelo n()d<
-H [arquivo_lmhosts]
Luando especificado, o servidor samba far$ a procura de nomes primeiro neste ar#uivo e depoisusando a rede.
-s [arquivo_cfg]
Especifica uma nova localização para o ar#uivo de configuração do samba. Aor padrão o/et%/s'()'/s().%on+ é usado.
-d [num]
Especifica o nível de depuração do nmbd, #ue podem ir de G a >G. % valor padrão é G.
-l [diretório]
Especifica a localização do diretrio onde o nmbd gravar$ o ar#uivo de log *o.n()d. % valor padrão é /'-/*o/s'()'
-n [nomeNetBIOS]
Aermite utilizar o nome 0et)-%' especificado a invés do especificado no ar#uivo s().%on+ paraidentificar o computador na rede.
18.% Conc"ito# 4"rai# para a con6i4uraço do SAMBA
Este capítulo documenta como configurar o seu servidor SAMBA permitindo o acesso a compartilhamento dear#uivos e impressão no sistema.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 6/73
18.%.1 No$" d" $;0uina <no$" N"tBio#=
:oda a m$#uina em uma rede 0et)EU- é identificada por um nome, este nome deve ser =nico na rede e permite #ue outras m$#uinas acessem os recursos disponibilizados ou #ue se&am enviadas mensagens para am$#uina. Este nome é composto de >I caracteres, sendo >J #ue identificam a m$#uina e o =ltimo o tipo deserviço #ue ela disponibiliza. % tipo de serviço é associado com o nome da m$#uina e registrado emservidores de nomes confirme a configuração da m$#uina !voc4 ver$ isto mais adiante".
% nome de m$#uina é especificado nas diretivas netbios name e netbios aliases !ve&a 0omes e grupos detrabalho, 'eção >H.9.H.>" para detalhes.
18.%.% Grupo d" tra)al,o
% grupo de trabalho organiza a estrutura de m$#uinas da rede em forma de $rvore, facilitando sua pes#uisa elocalização. :omemos como exemplo uma empresa grande com os departamentos %o(uni%'78o, -edes,we), -0, as m$#uinas #ue pertencem ao grupo de -edes serão agrupadas no programa de navegação<
-edes *edson te%ni%o ('-%e*o 0en-iue (i%0e**e
-0 (-&'odu-o
we) we)1
we) we)3
%o(uni%'%'o %o(uni%1 %o(uni% %o(uni%3
8 segurança no acesso a ar#uivos e diretrios na configuração de grupo de trabalho é controlada pela prpria m$#uina, normalmente usando segurança a nível de compartilhamento. Esta segurança funcionadefinindo um usu$rio+senha para acessar cada compartilhamento #ue a m$#uina possui. % L'n M'n'e-,Windows +o- Wo-2-ou&s, Windows 95, Windows 9!, "# o(e Edition usam este nível de acesso por
padrão. 'e dese&a configurar uma rede usando o nível de grupo de trabalho, ve&a onfiguração em :-u&ode T-')'*0o , 'eção >H.N para detalhes passo a passo e exemplos pr$ticos.
%s programas para navegação na rede 0et)-%' são mostrados em smbclient, 'eção >H.>N.9.?.9, nmbloo*up, 'eção >H.>N.9.?.F e Arogramas de navegação gr$ficos, 'eção >H.>N.J.
18.%.( >o$ínio
% funcionamento é semelhante ao grupo de trabalho, com a diferença #ue a segurança é controlada pelam$#uina central !A;" usando diretivas de acesso e grupos. % A; !Arimar/ ;omain ontroller" dever$ ter todas as contas de acesso #ue serão utilizadas pelo usu$rio para acessar os recursos existentes em outrasm$#uinas, script de logon #ue poder$ ser executado em cada m$#uina para fazer a&ustes, sincronismo,manutenção ou #ual#uer outra tarefa programada pelo administrador do sistema.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 7/73
Estas características para configuração de m$#uinas em domínio são documentadas passo a passo em Uma breve introdução a um ;omínio de rede, 'eção >H.O.>.
18.%.* Co$partil,a$"nto
Um compartilhamento é um recurso da m$#uina local #ue é disponibilizado para acesso via rede, #ue poder$ser mapeada !ve&a (apeamento, 'eção >H.9.J" por outra m$#uina. % compartilhamento pode ser umdiretrio, ar#uivo, impressora. 8lém de permitir o acesso do usu$rio, o compartilhamento pode ser protegido
por senha, e ter controle de acesso de leitura+gravação, monitoração de acessos, diretrios ocultos,autenticação via A; !domínio" e outras formas para restringir e garantir segurança na disponibilização dosdados !ve&a ontrole de acesso ao servidor '8()8, 'eção >H.>9 para aprender os métodos de como fazeristo".
Um compartilhamento no '8()8 pode ser acessível publicamente !sem senha" ou estar rigidamente protegido tendo #ue passar por diversas barreiras para chegar ao seu conte=do, como senhas, endereço deorigem, interfaces, usu$rio autorizados, permissões de visualização, etc.
% guia Foca Linux abordar$ estes assuntos com detalhes e explicar$ didaticamente como tornar seguro seuservidor samba e garantir um minucioso controle de acesso a seus compartilhamentos.
18.%.+ Map"a$"nto
(apear significa pegar um diretrio+ar#uivo+impressora compartilhado por alguma m$#uina da rede para ser acessada pela m$#uina local. Aara mapear algum recurso de rede, é necess$rio #ue ele se&a compartilhado naoutra m$#uina !ve&a ompartilhamento, 'eção >H.9.N". Aor exemplo, o diretrio /us- %o(&'-ti*0'do com o nome us-, pode ser mapeado por uma m$#uina Windows como a unidade F:, ou mapeado por umam$#uina Linux no diretrio /(nt/s'()'.
% programa respons$vel por mapear unidades compartilhadas no Linux é o s()(ount e s()%*ient !ve&a6inux, 'eção >H.>N.9.?".
18.%. Na3"4aço na "d" " control" d" do$ínio
Esta função é controlada pelo n()d #ue fica ativo o tempo todo disponibilizando os recursos da m$#uina narede, participando de eleições 0et)-%' ! 0íveis de sistema para eleição de rede, 'eção >H.9.>9", fazer logonde m$#uinas no domínio !Uma breve introdução a um ;omínio de rede, 'eção >H.O.>", etc.
8 função de navegação na rede é feita utilizando o compartilhamento I#;<. Este compartilhamento possuiacesso p=blico somente leitura e utiliza o usu$rio CguestC para disponibilização de seus. omo deve ter
percebido, é necess$rio especificar esta -; de usu$rio através do parPmetro uest '%%ount !;escriçãode parPmetros usados em compartilhamento, 'eção >H.F.>", ou a navegação de recursos no sistema !ou narede, dependendo da configuração do '8()8" não funcionar$.
7BS 8 função de navegação !bro2sing" poder$ não funcionar corretamente caso a m$#uina não consigaresolver nomes 0et)-%' para endereços -A.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 8/73
18.%.2 Ar0ui3o d" con6i4uraço do #a$)a
:oda a configuração relacionada com nomes, grupo de trabalho, tipo de servidor, log, compartilhamento dear#uivos e impressão do s'()' é colocada no ar#uivo de configuração /et%/s'()'/s().%on+. Este ar#uivoé dividido em seções e parâmetros.
Uma seção no ar#uivo de configuração do s'()' !s().%on+" é definido por um nome entre CQ RC. 8s seções
tem o ob&etivo de organizar os parPmetros pra #ue tenham efeito somente em algumas configurações decompartilhamento do servidor !exceto os da seção =*o)'*> #ue não especificam compartilhamentos, massuas diretivas podem ser v$lidas para todas os compartilhamentos do ar#uivo de configuração". 8lgunsnomes de seções foram reservados para configurações específicas do s'()', eles são os seguintes<
=*o)'*>
;efine configurações #ue afetam o servidor samba como um todo, fazendo efeito em todos oscompartilhamentos existentes na m$#uina. Aor exemplo, o grupo de trabalho, nome do servidor,
p$gina de cdigo, restrições de acesso por nome, etc. Me&a 'eção =*o)'*> , 'eção >H.9.H.
=0o(es>
Especifica opções de acesso a diretrios homes de usu$rios. % diretrio home é disponibilizadosomente para seu dono, aps se autenticar no sistema. Me&a 'eção =0o(es> , 'eção >H.9.?.
=&-inte-s>
;efine opções gerais para controle das impressoras do sistema. Este compartilhamento mapeia osnomes de todas as impressoras encontradas no /et%/&-int%'&. onfigurações especiais podem serfeitas separadamente. Me&a 'eção =&-inte-s> , 'eção >H.9.>G.
=&-o+i*e>
;efine um perfil #uando o servidor s'()' é usado como A; de domínio. Me&a onfigurando perfisde usu$rios, 'eção >H.O.H.
Lual#uer outro nome de QseçãoR no ar#uivo s().%on+ #ue não se&am as acima, são tratadas como umcompartilhamento ou impressora.
Um parâmetro é definido no formato nome valor . Aara um exemplo pr$tico, ve&a um exemplo de ar#uivos().%on+ em Exemplos de configuração do servidor '8()8, 'eção >H.>J. 0a configuração de booleanos,
a seguinte sintaxe pode ser usada<
• ? ou 1 • es ou no
• t-ue ou +'*se
8ssim, as seguintes configurações são e#uivalentes
('ste- )-owse 6 ? ('ste- )-owse 6 no
('ste- )-owse 6 +'*se
:odos significam C0S% ser o navegador principal de domínioC. 8 escolha fica a gosto do administrador.;urante a configuração, voc4 notar$ o poder da flexibilidade oferecida pelo samba na configuração de umservidor '() <7"
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 9/73
6inhas iniciadas por @ ou são tratadas como coment$rio. Luebras de linha pode ser especificadas comuma no final da linha.
18.%.8 S"ço [global]
%s parPmetros especificados nesta seção tem efeito em todo o servidor s'()' incluindo oscompartilhamentos. aso o parPmetro se&a novamente especificado para o compartilhamento, o valor #uevaler$ é o do compartilhamento.
Aor exemplo, se uest use- 6 no)od for usado na seção !global" e o uest use- 6 +o%' forusado no compartilhamento =+o%'*inux>, o usu$rio #ue far$ acesso p=blico a todos oscompartilhamentos do servidor ser$ o no)od, exceto para o compartilhamento =+o%'*inux>, #ue ser$feito pelo usu$rio +o%'. Me&a ompartilhamento de ar#uivos e diretrios, 'eção >H.F para obter uma lista edescrição dos principais parPmetros de compartilhamentos existentes. Uma lista completa pode ser obtida na
p$gina de manual do s().%on+.
-rei descrever alguns parPmetros utilizados nesta seção, organizado de forma did$tica e simplificada.
18.2.8.1 Nomes e grupos de trabalho
netbios name [nome do servidor]
Especifica o nome 0et)-%' prim$rio do servidor samba. aso não se&a a&ustado, ele usar$ ohostname de sua m$#uina como valor padrão.
Ex.< net)ios n'(e 6 +o%'s'()'.
!or"grou# [gru#o de trabalho$dom%nio]
;iz #ual o nome do grupo de trabalho+domínio #ue a m$#uina samba pertencer$.
Ex.< wo-2-ou& 6 +o%'*inux.
netbios aliases [nomes alternativos ao sistema]
Aermite o uso de nomes alternativos ao servidor, separados por espaços.
Ex.< teste1 teste.
server string [identi&ca'(o]
-dentificação enviada do servidor samba para o ambiente de rede. 8 string padrão é S'()' C !Tvé substituída pela versão do samba, para maiores detalhes, ve&a Mari$veis de substituição, 'eção>H.9.>F".
Ex< se-e- st-in 6 Se-ido- S'()' e-s8o C.
name resolve order [ordem]
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 10/73
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 11/73
valid chars [caracteres]
;efine caracteres v$lidos nos nomes de ar#uivos< '*id %0'-s 6DF GH J K P Q 8 V XY Z[. Este parPmetro >?!?@ ser sempre especificado depoisdo %*ient %ode &'e, pois caso contr$rio, eles serão substituídos por estes.
18.2.8.3 Restrições de acesso/mapeamento de usuários
uest '%%ount 6 =%ont'>
;efine a conta local de usu$rio #ue ser$ mapeada #uando um usu$rio se conectar sem senha !usu$rioguest". Me&a mais detalhes em ;escrição de parPmetros usados em compartilhamento, 'eção >H.F.>.
in'*id use-s
;efine uma lista de usu$rios #ue não terão acesso aos recursos do servidor ou compartilhamento.
seguro restringir o acesso samba a usu$rios com grande poder no sistema !como o -oot". Me&a maisdetalhes em Kestringindo o acesso por usu$rios, 'eção >H.>9.N.
'*id use-s
'emelhante a opção in'*id use-s mas permite #ue somente os usu$rios especificados tenhamacesso ao sistema. Me&a mais detalhes em Kestringindo o acesso por usu$rios, 'eção >H.>9.N.
de+'u*t se-i%e 6 no(e
aso o serviço #ue o usu$rio dese&a se conectar não for encontrado no servidor, o '8()8 mapear$
o serviço especificado nesta diretiva como alternativa. 8 vari$vel CT'C e o caracter CVC podem serinteressantes em algumas alternativas de configuração. 8 opção de+'u*t é um sinWnimo para estaopção. aso utilize esta opção, crie o compartilhamento em modo somente leitura e com acesso
p=blico, caso contr$rio !dependendo do plane&amento de partições e segurança do sistema dear#uivos" a m$#uina poder$ ser derrubada sem dificuldades.
use-n'(e ('& 6 ='-uio>
Especifica um ar#uivo #ue faz o mapeamento entre nomes fornecidos por clientes e nomes de contasUnix locais. Me&a (apeamento de nomes de usu$rios, 'eção >H.>9.>I para mais detalhes de comoconfigurar este recurso.
obe* #am restrictions *es
-ndica se as restrições do usu$rio nos mdulos A8( terão efeito também no '8()8.
18.2.8. N!"eis de autenticaç#o
!esta seção contém algumas explicações #ue dependem do resto do conte=do do guia, caso não entenda de
imediato a fundo as explicações, recomendo #ue a leia novamente mais tarde".
;efine o nível de segurança do servidor. %s seguintes valores são v$lidos<
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 12/73
• s0'-e 7 Usada principalmente #uando apenas a senha é enviada por compartilhamentoacessado para o servidor, caso muito típico em sistemas L'n M'n'e- e Windows +o-
Wo-2-ou&s.
(esmo assim o samba tenta mapear para um U-; de usu$rio local do sistema usando osseguintes métodos !retirado da p$gina de manual do samba"<
• 'e o parPmetrouest on*
é usado no compartilhamento &unto com ouest o2
, oacesso é imediatamente permitido, sem verificar inclusive a senha.
• aso um nome de usu$rio se&a enviado &unto com a senha, ele é utilizado para mapear o U-;e aplicar as permissões deste usu$rio !como acontece no nível de segurança user ".
• 'e ele usou um nome para fazer o logon no Windows este nome ser$ usado como usu$riolocal do '8()8. aso ele se&a diferente, voc4 dever$ usar o mapeamento de nomes paraassociar o nome remoto do nome local !ve&a (apeamento de nomes de usu$rios, 'eção>H.>9.>I"
• % nome do serviço é tentado como nome de usu$rio.
• % nome da m$#uina 0et)ios é tentada como nome de usu$rio
• %s usu$rios especificados na opção use- do compartilhamentos são utilizados !ve&a;escrição de parPmetros usados em compartilhamento, 'eção >H.F.>".
• aso nenhum destes métodos acima for satisfeito, o acesso é 0E58;%.
Xo&e em dia, o uso do nível de acesso s0'-e é raramente usado, por#ue todos os sistemas a partir do Windows 95 e acima enviam o nome de usu$rio ao acessar um compartilhamento!caindo na segunda checagem do nível share", sendo e#uivalente a usar o nível user .Entretanto, o nível de segurança share é recomendado para servidores onde :%;% oconte=do deve ter acesso p=blico !se&a leitura ou gravação" e o parPmetro uest s0'-es também funciona nativamente.
8s senhas criptografadas !en%-&t &'sswo-ds 6 1" N7 funcionarão no nível share,lembre7se deste detalhe.
• use- 7 Este é o padrão. % usu$rio precisa ter uma conta de usu$rio no Linux para acessarseus compartilhamentos. 8 mesma conta de usu$rio+senha dever$ ser usada no Windows paraacessar seus recursos ou realizado um mapeamento de nomes de usu$rios !ve&a (apeamento
de nomes de usu$rios, 'eção >H.>9.>I". Este é o padrão do '8()8. 0o nível de acesso user o usu$rio precisa ser autenticado de #ual#uer forma, inclusive se for usado o parPmetrouest on* ou use-. %s seguintes passos são usados para autorizar uma conexão usandoo nível user !retirado da documentação do '8()8"<
o tentada a validação usando o nome+senha passados pelo cliente. 'e tudo estiver %Y,a conexão é permitida.
o aso &$ tenha se autenticado anteriormente para acessar o recurso e forneceu a senhacorreta, o acesso é permitido.
o % nome 0et)-%' da m$#uina do cliente e #ual#uer nome de usu$rio #ue foi usado énovamente tentado &unto com a senha para tentar permitir o acesso ao recursocompartilhado.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 13/73
o aso o cliente tenha validado o nome+senha com o servidor e o cliente enviounovamente o to*en de validação, este nome de usu$rio é usado.
o tentada a checagem com o parPmetro user no compartilhamento !ve&a ;escrição de parPmetros usados em compartilhamento, 'eção >H.F.>.
o verificado se o serviço é p=blico, então a conexão é feita usando o usu$rio uest
'%%ount e ignorando a senha !ve&a riando um compartilhamento para acesso sem
senha, 'eção >H.>9.O".
• do('in 7 0este nível, o acesso s ser$ permitido #uando a m$#uina for adicionada aodomínio com o s()&'sswd !6inux, 'eção >H.>N.F.?". 0este nível de acesso, a conta deusu$rio ser$ validada em um servidor A; !controlador de domínio" e o acesso aos recursosdas m$#uinas #ue fazem parte do domínio ser$ feito a partir do A;. Me&a 6inux, 'eção>H.>N.F.? para detalhes.
• se-e- 7 8 m$#uina samba tentara autenticar o usu$rio em outro servidor 0: !ou samba". 0o caso da autenticação falhar, ser$ usado o nível de acesso user na base de usu$rios local
!ser$ necess$rio o ar#uivo de senhas criptografado do samba para #ue a autenticação localfuncione, ve&a 8tivando o suporte a senhas criptografadas, 'eção >H.H". Este nível é bastanteusado #uando configuramos um servidor de perfis de usu$rios ou logon separado do A;.
18.2.8.$ %og de acessos/ser"iços
log &le [arquivo]
;efine a localização e nome do ar#uivo de log gerado pelo samba. 8s vari$veis de expansão podem
ser usadas caso o administrador #ueira ter um melhor controle dos logs gerados !ve&a Mari$veis desubstituição, 'eção >H.9.>F".
Ex.< /'-/*o/s'()'/s'()'*oC(.
7BS 'e possível colo#ue uma extensão no ar#uivo de log gerado pelo SAMBA !como .*o". %motivo disto é por#ue se estes logs forem rotacionados pelo *o-ot'te voc4 ter$ problemas derecompactação m=ltiplas caso utilize um coringa s'()'*o\, gerando ar#uivos como.].].].., lotando a tabela de ar#uivos do diretrio e deixando sua m$#uina em um loop decompactação.
ma+ log si,e [tamanho]
Especifica o tamanho m$ximo em Yb do ar#uivo de log gerado pelo samba. % valor padrão éJGGGYb !J()".
debug #id [valor]
Este processo adiciona a pid aos logs gerados pelo processo s()d -sto é =til para depuração casoexistam m=ltiplos processos rodando. % valor padrão é no e a opção debug timestamp deve ser es
para esta opção ter efeito.
debug timestam# [valor]
8tiva ou desativa a gravação de data+hora nos ar#uivos de log gerados pelo samba. % valor padrão ées.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 14/73
debug level [valor]
8umenta o nível de depuração dos daemons do '8()8 de ? a 9. Um nível de depuraçãointeressante e #ue produz uma #uantidade razo$vel de dados para configuração de um *o-ot'te s
para o '8()8 é o , produzindo a lista de todos os compartilhamentos acessados, #uem acessou,data+hora !dependendo das outras opções de depuração". -sto permite ao administrador saberexatamente o #ue est$ sendo acessado e por #uem, #uais as tentativas de acesso. 8ssim ter$ certeza
#ue o conte=do não est$ sendo acessado indevidamente. % nível de depuração ? é o padrão.debug uid [valor]
Este parPmetro inclui o euid, egid, uid, gid nos ar#uivos de log. % valor padrão é no.
loc" director* [diretório]
;efine onde serão gravados os ar#uivos de loc* gerados pelo samba.
18.2.8.& Na"egaç#o no ser"idor/tipo de ser"idor
os level[num]
Especifica o nível do sistema operacional. Este n=mero é usado para as eleições netbios para definiro navegador de grupo local e controlador de domínio !ve&a 0íveis de sistema para eleição de rede,'eção >H.9.>9 para detalhes". % valor pode ser de G a 9JJ, o padrão é F9.
announce as [sistema]
'elecione o nome #ue o s'()' !n()d" se anunciar$ na lista de pes#uisa de rede. %s seguintes nomes podem ser usados<
• NT Se-e- ^ou NT_ 7 8nuncia como #indo$s N% Server . Este é o padrão.• NT Wo-2st'tion 7 8nuncia7se como um N% #or&station.
• Win95 ou W+W 7 8nuncia7se na rede como uma estação #indo$s 'x, #indo$s for
#or&groups, #indo$s N% Server e #indo$s N% #or&station de uma s vez.
domain master [valor]
;iz se o servidor tentar$ se tornar o navegador principal de domínio. %s valores #ue podem serespecificados são< es, no e 'uto. % valor padrão é 'uto. Me&a ;omain (aster )ro2ser,'eção >H.O.F.
local master [valor]
;iz se o servidor participar$ ou não das eleições para navegador local do grupo de trabalho!2or*group". %s valores #ue podem ser especificados são< es, no. % valor padrão é es. Aaravencer a eleição, o samba precisa ter o valor de os *ee* maior #ue os demais.
0ote também #ue o 1indo2s 0: não aceita perder as eleições e convoca uma nova eleição caso ele perca. omo esta eleição é feita via broadcasting, isso gera um tr$fego grande na rede. ;esta forma,se tiver um computador 0: na rede configure este valor para CnoC. Me&a 6ocal (aster )ro2ser,'eção >H.O.9.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 15/73
#referred master [valor]
;iz se o servidor samba ter$ ou não vantagens de ganhar uma eleição local. 'e estiver configurado para C/esC, o servidor samba pedir$ uma eleição e ter$ vantagens para ganha7la. % servidor poder$ setornar garantidamente o navegador principal do dom(nio se esta opção for usada em con&unto comdomain master ). %s valores especificados podem ser es, no e 'uto, o padrão é 'uto.
8ntes de a&ustar este valor para es, verifi#ue se existem outros servidores 0et)-%' em sua rede#ue tem prefer4ncia para se tornar o master principal, pois poder$ ocorrer um tr$fego alto de broadcasting causado pelas eleições solicitadas pelas outras m$#uinas.
18.2.8.' (utros par)metros de con*guraç#o
in%*ude
-nclui um outro ar#uivo de configuração na porção atual do ar#uivo de configuração. Moc4 podeutilizar vari$veis de substituição, exceto Cu, C# e CS !ve&a Mari$veis de substituição, 'eção >H.9.>F".
18.%.5 S"ço [homes]
Esta seção tem a função especial de disponibilizar o diretrio home do usu$rio. Luando o usu$rio envia seunome de login como compartilhamento é feita uma busca no ar#uivo s().%on+ procurando por um nome decompartilhamento #ue confira. aso nenhum se&a encontrado, é feita uma busca por um nome de usu$riocorrespondente no ar#uivo /et%/&'sswd, se um nome conferir e a senha enviada também, o diretrio deusu$rio é disponibilizado como um compartilhamento com o mesmo nome do usu$rio local. % diretrio
home do usu$rio poder$ ser modificado com o uso de mapeamento de nomes, ve&a (apeamento de nomesde usu$rios, 'eção >H.>9.>I. Luando o caminho do compartilhamento não for especificado, o '8()8utilizar$ o diretrio home do usu$rio !no /et%/&'sswd".
Aara maior segurança da instalação, principalmente por#ue o diretrio home do usu$rio não é umre#uerimento para a autenticação de usu$rio, recomendo usar a vari$vel de substituição CS apontando paraum diretrio com as permissões apropriadas configuradas em seu sistema, por exemplo<
=0o(es> %o((ent 6 i-etK-ios de UsuD-ios &'t06/&u)/usu'-ios/CS
Moc4 apenas ter$ o trabalho extra de criar os diretrios de usu$rios #ue farão acesso ao sistema. -sto não ser$nenhum problema aps voc4 programar um shell script simples #ue verifi#ue os nomes de contas em/et%/&'sswd e crie os diretrios com as permissões+grupos ade#uados !isso não ser$ abordado por estecapítulo do guia, embora não se&a complicado". 'e dese&a, existem exemplos em Exemplos de configuraçãodo servidor '8()8, 'eção >H.>J sobre a seção !homes" no ar#uivo de configuração.
%s parPmetros aceitos em !homes" a#ui são os mesmos usados para compartilhamentos normais !ve&a;escrição de parPmetros usados em compartilhamento, 'eção >H.F.>". 8baixo segue mais um exemplo deseção !homes"<
=0o(es>%o((ent 6 i-etK-io 0o(e de usuD-ios
w-it')*e 6 es &u)*i% 6 no in'*id use-s 6 -oot no)od `'d(
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 16/73
+o**ow s(*in2s 6 no %-e'te (ode 6 ?ab? di-e%to- (ode 6 ?c5?
8 explicação de cada um dos parPmetros podem ser encontradas em ;escrição de parPmetros usados emcompartilhamento, 'eção >H.F.>. % guia est$ com os parPmetros bem organizados em seções específicas,apenas de uma olhada para entender com o capítulo do '8()8 foi organizado e não ter$ dificuldades de selocalizar.
7BS1aso nenhum caminho de compartilhamento se&a utilizado, o diretrio home do usu$rio ser$compartilhado.
7BS% 0ão utilize o parPmetro public yes na seção guest, caso contr$rio todos os diretrios de usu$rios serãolidos por todos. Me&a onsiderações de segurança com o uso do parPmetro Cpublic D /esC, 'eção >H.>9.>N
para maiores detalhes.
18.%.19 S"ço [printers]
Esta seção tem a função de disponibilizar as impressoras existentes no sistema !lp, lp>, lp9, etc" existentesno /et%/&-int%'& como compartilhamento de sistemas 1indo2s. % método #ue os nomes de impressorassão pes#uisados é id4ntico a forma feita para a seção !homes"< Arimeiro o nome do compartilhamento é
pes#uisado como um nome de serviço, depois se ele é um nome de usu$rio !tentando mapear o serviçodisponibilizado em QhomesR", depois ser$ verificado a seção !printers".
8o invés de usar este recurso, se preferir voc4 poder$ compartilhar as impressoras individualmente. Aaradetalhes, ve&a onfigurando o 6inux como um servidor de impressão 1indo2s, 'eção >H.>>.>.
7BS importante lembrar #ue a seção !printers" >?!? ser definida como &-int')*e usando o parPmetro printable yes para funcionar. % utilit$rio test&'-( poder$ ser usado para verificar problemasno ar#uivo cd configuração do '8()8 !ve&a )uscando problemas na configuração, 'eção >H.9.>>".
18.%.11 Bu#cando pro)l"$a# na con6i4uraço
;urante o processo de configuração do '8()8, é comum cometer erros de digitação, usar parPmetros emlugares indevidos, etc. recomend$vel o uso do test&'-( para checar a configuração do '8()8 sempre#ue houver modificações para ter certeza nada comprometa o funcionamento #ue plane&ou para suam$#uina.
Aara usar o test&'-( é s digitar test&'-(. 6ogo aps executa7lo, analise se existem erros nas seções deconfiguração e te pedir$ para pressionar ZE0:EK para ver um dump do ar#uivo<
Lo'd s() %on+i +i*es +-o( /et%/s'()'/s().%on+ #-o%essin se%tion =0o(es> #-o%essin se%tion =&-inte-s> #-o%essin se%tion =t(&> #-o%essin se%tion =%d-o(> Lo'ded se-i%es +i*e O$. #-ess ente- to see ' du(& o+ ou- se-i%e de+initions
8 saída acima indica #ue est$ tudo %Y com todas as configurações #ue foram realizadas no servidor. possível especificar um outro ar#uivo de configuração do '8()8 usando test&'-(/et%/s'()'/s().%on+.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 17/73
:ambém é permitido simular o nome 0et)-%' #ue far$ acesso a m$#uina usando o parPmetro L no(e !#ue ser$ substituído na vari$vel *L".
18.%.1% Ní3"i# d" #i#t"$a para "l"iço d" r"d"
Aara selecionar #ual sistema 0et)-%' ser$ o local master bro2se ou domain master bro2se, é usado ummétodo bastante interessante< o de eleições.
Luando uma nova m$#uina entra na rede 0et)-%', ela solicita #uem é o 6ocal (aster )ro2ser, casonenhuma responda, ela força uma eleição na rede através de uma re#uisição )roadcasting especial. Mence aeleição #uem tiver o [[[maior n=mero[[[, chamado de %' 6evel !nível de sistema operacional". aso duasm$#uinas empatem, o desempate é feito usando outros critérios.
'e voc4 for a =nica m$#uina de um 2or*group, automaticamente voc4 ser$ o 6ocal (aster )ro2ser. ;emeia em meia hora uma nova eleição é feita, forçando mais tr$fego broadcasting na rede. ;urante este novo
processo de eleição, a lista de computadores é atualizada\ as novas m$#uinas são adicionadas e as desligadas
saem da lista aps FI minutos. Este é o motivo por#ue as m$#uinas 1indo2s continuam aparecendo noambiente de rede por algum tempo mesmo depois #ue desligadas ou por#ue elas não aparecem de imediato.
% %' 6evel é um n=mero #ue é característico de cada sistema operacional ficando entre G !mais baixo" e9JJ. %s níveis de acessos dos sistemas operacionais são os seguintes<
Windows +o- Wo-2-ou&s 1 Windows 95 1 Windows 9! Windows 9! Se%ond Edition
Windows ??? Se-e- ^st'nd'*one_ 1a Windows ??? #-o+ession'* 1a Windows NT b.? W2s 1c Windows NT 3.51 W2s 1a
Windows NT 3.51 Se-e- 3 Windows NT b.? Se-e- 33 Windows ??? Se-e- ^o('in ;ont-o**e-_ 3
SAMBA 3
% valor padrão do %' 6evel do '8()8 é F9, entretanto ele é bastante flexível para permitir sua mudançaatravés do parPmetro Cos levelC !ve&a 0avegação no servidor+tipo de servidor, 'eção >H.9.H.I", isto garante#ue o '8()8 sempre vença as eleições da rede sobre #ual#uer outro sistema operacional.
0o caso de um servidor #ue estiver configurado para ser o navegador de rede, assim #ue for iniciado elesolicitar$ uma eleição de rede. 8s regras são as mesmas, vence o #ue tiver o [maior[ n=mero. Este n=mero
pode ser configurado facilmente no '8()8 para #ue ele sempre vença as eleições de rede, tomando contada lista de m$#uinas. -sto é especialmente interessante por causa da estabilidade do servidor Linux, #uandomigramos de servidor 0: ou para fornecer mais serviços de navegação, como servidor 1-0'.
7BS< 0unca deixe um servidor 0: configurado para ser o 6ocal )ro2ser ou ;omain (aster )ro2ser
competir com o '8()8. (esmo #ue o '8()8 ganhe, o 0: é um péssimo perdedor e convoca uma novaeleição para tentar novamente se eleger, gerando um [extremo[ tr$fego broadcasting em redes grandes.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 18/73
18.%.1( !ari;3"i# d" #u)#tituiço
Esta seção foi baseada nos dados da p$gina de manual do samba, com adições #ue não estavam presentes naversão original e exemplos. Existem vari$veis especiais #ue podem ser usadas no ar#uivo de configuraçãodo samba e são substituídas por parPmetros especiais no momento da conexão do usu$rio. Um exemplo deutilização de vari$veis de substituição seria mudar a localização do diretrio home do usu$rio<
=0o(es>
%o((ent 6 i-etK-io 0o(e do usuD-io &'t0 6 /0o(e/usu'-ios/Cu
ada uma das vari$veis são descritas em detalhes abaixo<
S
% nome do serviço atual, se existir. 'eu uso é interessante, principalmente no uso de diretrioshomes.
.
% diretrio raíz do serviço atual, se existir.
u
% nome de usu$rio do serviço atual, se aplic$vel. Esta vari$vel é bastante =til para programação descripts e também para criar ar#uivos de log personalizados, etc.
g
% grupo prim$rio do usu$rio Tu.
/
% nome de usu$rio da seção !o nome de usu$rio solicitado pelo cliente, não é uma regra #ue ele ser$sempre o mesmo #ue ele recebeu".
0
% nome do grupo prim$rio de TU.
H
% diretrio home do usu$rio, de acordo com Tu.
v
8 versão do 'amba.
h
% nome ;0' da m$#uina #ue est$ executando o 'amba.
m
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 19/73
% nome 0et)-%' da m$#uina do cliente. -sto é muito =til para log de conexões personalizados eoutras coisas =teis.
1
% nome 0et)-%' do servidor. omo o servidor pode usar mais de um nome no samba !aliases", voc4 poder$ saber com #ual nome o seu servidor est$ sendo acessado e possivelmente torna7lo o nome prim$rio de sua m$#uina.
2
% nome ;0' da m$#uina cliente.
N
% nome do seu servidor de diretrios home 0-'. Este parPmetro é obtido de uma entrada no seuar#uivo auto.map. 'e não tiver compilado o '8()8 com a opção wit0'uto(ount entãoeste valor ser$ o mesmo de T6.
#
% caminho do diretrio home do serviço, obtido de uma entrada mapeada no ar#uivo 'uto.('& do 0-'. 8 entrada 0-' do ar#uivo 'uto.('& é dividida na forma CT0<TpC.
3
% nível de protocolo selecionado aps a negociação. % valor retornado pode ser %KE,%KEA6U', 680(80>, 680(809 ou 0:>.
d
8 identificação de processo do processo atual do servidor.
a
8 ar#uitetura da m$#uina remota. 'omente algumas são reconhecidas e a resposta pode não sertotalmente confi$vel. % s'()' atualmente reconhece Samba, #indo$s for #or&groups, #indo$s '+,#indo$s N% e #indo$s ,---. Lual#uer outra coisa ser$ mostrado como CU0Y0%10C!desconhecido".
I
% endereço -A da m$#uina do cliente.
4
8 data e hora atual.
56var_ambiente7
Ketorna o valor da vari.vel de ambiente especificada.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 20/73
18.( Co$partil,a$"nto d" ar0ui3o# " dir"t'rio#
Esta seção documenta como disponibilizar ar#uivos e impressoras com o '8()8 e os parPmetros usados para realizar restrições de compartilhamento, modo #ue os dados serão disponibilizados e ítens de performance. 8 maior parte destes parPmetros são empregados em serviços do '8()8, mas nada impede#ue também se&am colocado na seção !global" do ar#uivo de configuração, principalmente #uando isto év$lido para diversos serviços compartilhados !ve&a 'eção =*o)'*> , 'eção >H.9.H".
18.(.1 >"#criço d" par$"tro# u#ado# "$ co$partil,a$"nto
8baixo o guia traz algumas das opções #ue podem ser usadas para controlar o comportamento docompartilhamento de ar#uivos por serviços no servidor '8()8<
#ath
-ndica o diretrio #ue ser$ compartilhado. 6embre7se #ue o usu$rio ter$ as permissões de acesso #ueele teria caso estivesse logado no sistema como um usu$rio U0-3 normal, exceto se estiver fazendomapeamento para outros nomes de usu$rios !ve&a (apeamento de nomes de usu$rios, 'eção>H.>9.>I".
Ex< &'t06/&u) 7 ompartilha o diretrio local /&u).
7BS Luando não é definido um &'t0, o diretrio /t(& é usado como padrão.
comment
;escrição do compartilhamento #ue ser$ mostrada na &anela de procura de rede ou no s()%*ientL ('uin'.
Ex< %o((ent6#'st' de %ontedo &)*i%o do siste('.
bro!seable
;efine se o compartilhamento ser$ ou não exibido na &anela de procura de rede. (esmo não sendoexibido, o compartilhamento poder$ ser acessado. Me&a riando um compartilhamento invisível,'eção >H.>9.>9 para uma explicação mais detalhada.
Ex< )-owse')*e6es 7 6ista o compartilhamento na &anela de pes#uisa de servidores.
guest account
onta #ue ser$ usada para fazer acesso sem senha !convidado" #uando o parPmetro uest o2 ou&u)*i% forem usados em um compartilhamento. Aor padrão ela é mapeada para o usu$rio no)od. importante especificar uma nome de usu$rio guest !convidado", principalmente por#ue seu U-;ser$ usado para fazer v$rias operações no '8()8, como exibir os recursos disponíveis na m$#uina
para a rede. Aor motivos claros, é recomend$vel #ue este usu$rio no tenha acesso login ao sistema.
aso não tenha a intenção de ocultar o '8()8 na lista de m$#uinas da rede !fazendo apenas acessodireto aos recursos", especifi#ue um valor para esta opção.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 21/73
Ex< uest '%%ount 6 s'()'us- 7 (apeia os usu$rio se conectando sem senha para o usu$rios'()'us-, desde #ue o acesso guest se&a permitido pela opção &u)*i%.
#ublic
Aermitem aos usu$rios usu$rios se conectarem ao compartilhamento sem fornecer uma senha usandoo usu$rio guest. % U-; #ue o usu$rio guest ser$ mapeado é especificado pelo parPmetro uest
'%%ount". Me&a riando um compartilhamento para acesso sem senha, 'eção >H.>9.O. % parPmetrouest o2 é e#uivalente a &u)*i%.
Ex< &u)*i% 6 no 7 0ão permite
guest onl*
Aermite somente conexões guest ao recurso. % U-; do usu$rio é mapeado para guest, mesmo #ueforneça uma senha correta. % valor padrão é no.
Ex< uest on* 6 no.
!rite list
6ista de usu$rios separados por espaço ou vírgula #ue poderão ler e gravar no compartilhamento.aso o nome for iniciado por CBC, o nome especificado ser$ tratado como um grupo U0-3!/et%/-ou&" e todos os usu$rios da#uele grupo terão acesso de gravação. % uso deste parPmetroignora o -e'd on* 6 es. Me&a Excessão de acesso na permissão padrão de compartilhamento,'eção >H.>9.>G para mais detalhes.
Ex< w-ite *ist 6 *edson, `usu'-ios 7 Aermite acesso gravação somente do usu$rio
*edson e todos os usu$rios pertencentes ao grupo `usu'-ios.
7BS 7 % significado de CBC nos parPmetros Cinvalid usersC+Cvalid usersC é diferente das opçõesw-ite *ist e -e'd *ist.
read list
6ista de usu$rios separados por espaço ou vírgula #ue poderão apenas ler o compartilhamento. %caracter CBC pode ser especificado para fazer refer4ncia a grupos, como no w-ite *ist. % usodeste parPmetro ignora o -e'd on* 6 no. Me&a Excessão de acesso na permissão padrão de
compartilhamento, 'eção >H.>9.>G para mais detalhes.Ex< -e'd *ist 6 no)od, sste(, o&e-'do-, `usu'-ios 7 Aermite acesso deleitura somente do usu$rio no)od, sste(, o&e-'do- e todos os usu$rios pertencentes aogrupo `usu'-ios.
user
Especifica um ou mais nomes de usu$rios ou grupos !caso o nome se&a seguido de CBC" parachecagem de senha. Luando o cliente somente fornece uma senha !especialmente na rede L'n
M'n'e-, Windows +o- Wo-2-ou&s e primeira versão do Windows 95" ela ser$ validada no banco
de dados de senhas usando o usu$rio especificado nesta opção.
Ex< use- 6 o0n `usu'-ios-ede
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 22/73
onl* user
Especifica se somente serão permitidas conexões vindas de usu$rios da diretiva use-. % padrão éno. aso dese&e restringir o acesso a determinados usu$rios, o certo é faze7lo usando '*iduse-s e in'*id use-s !ve&a Kestringindo o acesso por usu$rios, 'eção >H.>9.N". % uso deon* use- é apropriado #uando é necess$rio um controle específico de acesso sobre a diretivause-.
Ex< on* use- 6 no.
loc"ing
Aermite ao '8()8 fazer um loc* real de ar#uivo ou apenas simular. aso se&a especificado comoCGC, o ar#uivo não é blo#ueado para acesso exclusivo no servidor mas uma resposta positiva de loc*é retornada ao cliente. 'e definido como C>C, um loc* real é feito. % padrão é es.
Ex< *o%2in 6 es
available
az o '8()8 ignorar o compartilhamento !como se tivesse retirado do servidor". % valor padrão éCnoC.
follo! s*mlin"s
Aermite o uso de lin*s simblicos no compartilhamento !ve&a também a opção wide *in2s". 8desativação desta opção diminui um pouco a performance de acesso aos ar#uivos. omo é restrita acompartilhamento, o impacto de segurança depende dos dados sendo compartilhados. % valor padrão
desta opção é C]E'C.
Ex< +o**ow s(*in2s 6 es
!ide lin"s
Aermite apontar para lin*s simblicos para fora do compartilhamento exportada pelo '8()8. %valor padrão esta opção é C]E'C.
Ex< wide *in2s 6 es.
7BS 7 8 desativação desta opção causa um aumento na performance do servidor '8()8, evitandoa chamada de funções do sistema para resolver os lin*s. Entretanto, diminui a segurança do seuservidor, pois facilita a ocorr4ncia de ata#ues usando lin*s simblicos.
6embre7se mais uma vez #ue a segurança do seu sistema começa pela política e uma instalação bemconfigurada, isso &$ implica desde a escolha de sua distribuição até o conhecimento de permissões e
plane&amento na implantação do servidor de ar#uivos.
dont descend
0ão mostra o conte=do de diretrios especificados.
Ex< dont des%end 6 /-oot, /&-o%, /win/windows, /win/A-uios de#-o-'('s, /win/&-o-'( +i*es.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 23/73
#rintable
Especifica se o compartilhamento é uma impressora !/es" ou um compartilhamento dear#uivo+diretrio !no". % padrão é CnoC.
read onl*
Especifica se o compartilhamento é somente para leitura !/es" ou não !no" para todos os usu$rios. % parPmetro w-it')*e é um antWnimo e#uivalente a este parPmetro, s #ue utiliza as opçõesinvertidas. Aor segurança, o valor padrão é somente leitura. Me&a uma explicação mais detalhada emriando um compartilhamento com acesso somente leitura, 'eção >H.>9.H.
Ex< -e'd on* 6 es.
create mas"
(odo padrão para criação de ar#uivos no compartilhamento. % parPmetro Ccreate modeC é umsinWnimo para este. % modo de ar#uivos deve ser especificado em formato octal.
Ex< %-e'te ('s2 6 ?a??.
director* mas"
(odo padrão para a criação de diretrios no compartilhamento. % parPmetro Cdirector/ modeC é umsinWnimo para este. % modo de diretrio deve ser especificado em formato octal.
Ex< di-e%to- ('s2 6 ?c??.
get!d cache
Aermite utilizar um cache para acesso as re#uisições get2d, diminuindo o n=mero de ciclos de processamento para acesso a ar#uivos+diretrios. % valor padrão é C]esC.
!rite cache si,e
:amanho do cache de leitura+gravação do compartilhamento. Este valor é especificado em b/tes e o padrão é CGC. Me&a (elhorando a performance do compartilhamento+servidor, 'eção >H.>F paradetalhes sobre seu uso.
Ex< w-ite %'%0e si]e 6 3!b???.
inherit #ermissions
Aermite herdar permissões de ar#uivos+diretrios do diretrio pai #uando novos ar#uivos+diretriossão criados, isto inclui bits '5-; !set group -;". % padrão é NO herdar permissões. % uso destaopção substitui as opções fornecidas por %-e'te ('s2, di-e%to- ('s2, +o-%e %-e'te('s2 e +o-%e di-e%to- ('s2.
Ex< in0e-it &e-(issions.
#ree+ec
Executa um comando antes a abertura de um compartilhamento. % parPmetro exe% é um sinWnimo para este. Me&a Executando comandos antes e aps o acesso ao compartilhamento, 'eção >H.>9.>F.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 24/73
#oste+ec
Executa um comando depois da utilização do compartilhamento. Me&a Executando comandos antes eaps o acesso ao compartilhamento, 'eção >H.>9.>F.
#ree+ec close
echa imediatamente o compartilhamento caso o valor do comando executado pela opção &-eexe% se&a diferente de G. % uso desta opção s faz sentido em con&unto com &-eexe%. % valor padrão éCnoC. Me&a Executando comandos antes e aps o acesso ao compartilhamento, 'eção >H.>9.>F.
Exemplo< &-eexe% %*ose 6 es.
volume nome
Ketorna o nome de volume especificado #uando é feito o acesso ao compartilhamento. -sto é muito=til para instalações onde o serial do ;, dis#uete ou X; é verificado durante o acesso. -sto acontececom fre#^4ncia em produtos de fabricantes propriet$rios como forma de evitar a execução ilegal do
programa.
18.* Con6i4uraço "$ Grupo de Trabalho
8 configuração grupo de trabalho é o método mais simples para compartilhar recursos em uma rede etambém é indicado #uando se possui uma rede pe#uena !até FG m$#uinas" pois o gerenciamento não é tãocomplicado. 8cima deste n=mero, é recomendada a utilização da configuração de domínio para definição de
políticas de acesso mais precisas pelo administrador e para manter o controle sobre os recursos da rede !ve&a
onfigurando um servidor A; no '8()8, 'eção >H.O.N".
8 configuração do nível de acesso por grupo de trabalho tem como características principais essasimplicidade na configuração e o controle de acesso aos recursos sendo feito pela m$#uina local através desenhas e controle de -A.
Luanto ao método de senhas, voc4 pode optar tanto por usar senhas criptografadas !8tivando o suporte asenhas criptografadas, 'eção >H.H" ou senhas em texto limpo !8tivando o suporte a senhas em texto plano,'eção >H.?".
Me&a abaixo um exemplo explicado de configuração do SAMBA para grupo de trabalho<
=*o)'*> net)ios n'(e 6 se-ido- wo-2-ou& 6 +o%'*inux se%u-it 6 use- o)e &'( -est-i%tions 6 es en%-&t &'sswo-ds 6 no os *ee* 6 3? uest '%%ount 6 no)od se-e- st-in 6 se-ido- d' -ede *o%'* ('ste- 6 t-ue do('in ('ste- 6 +'*se
=0o(es> %o((ent 6 i-etK-ios de usuD-ios %-e'te ('s26 ?c?? di-e%to- ('s2 6 ?c?? )-owse')*e 6 no
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 25/73
=t(&>
&'t0 6 /t(& %o((ent 6 i-etK-io te(&o-D-io do siste(' -e'd on* 6 es '*id use-s 6 *edson &u)*i% 6 no
8gora, verifi#ue se existem erros na configuração com o comando test&'-( !)uscando problemas na
configuração, 'eção >H.9.>>" e reinicie o SAMBA !-niciando o servidor+reiniciando+recarregando aconfiguração, 'eção >H.>.?". % nome do grupo de trabalho #ue a m$#uina pertencer$ é +o%'*inux !wo-2-ou& 6 +o%'*inux". % nível de acesso usado neste exemplo é de usu$rio !se%u-it 6use-", para mais detalhes sobre este método, ve&a 0íveis de autenticação, 'eção >H.9.H.N. % parPmetro*o%'* ('ste- foi definido para es para o SAMBA tentar ser o navegador local do grupo de trabalho!ve&a 6ocal (aster )ro2ser, 'eção >H.O.9".
Aara testar se o servidor est$ funcionando, digite o seguinte comando<
s()%*ient L se-ido- U usu'-io
;igite a senha de usu$rio #uando solicitado. % comando dever$ listar os recuros da m$#uina, indicando #uea configuração est$ funcionando corretamente. 'e voc4 é paranico e est$ preocupado com a segurança dam$#uina, recomendo ler a ontrole de acesso ao servidor '8()8, 'eção >H.>9.
18.+ "#oluço d" no$"# d" $;0uina# no #a$)a
% 'amba pode utiliza os seguintes métodos para resolução de nomes de m$#uinas na rede ! 0ome dem$#uina !nome 0et)ios", 'eção >H.9.>". Eles estão listados em ordem de prioridade do mais para o menosrecomend$vel<
• *(0osts 7 Aes#uisa primeiro o ar#uivo /et%/s'()'/*(0osts !ve&a 8r#uivo/et%/s'()'/*(0osts , 'eção >H.J.> para detalhes sobre este ar#uivo".
• 0ost 7 az a pes#uisa no ar#uivo /et%/0osts e no ;0' em busca do nome da m$#uina.
• wins 7 Aes#uisa no servidor 1-0' especificado pelo parPmetro $ins server do s().%on+ !ve&a1-0', 'eção >H.J.9".
• )%'st 7 Envia um pacote para o endereço de broadcast de sua configuração de rede. Este
geralmente deve ser o =ltimo método por gerar tr$fego excessivo em uma rede com um consider$veln=mero de computadores.
8 ordem #ue a resolução de nomes é feita pelo samba, pode ser modificada usando o parPmetro Cnameresolve order D QordemRC no ar#uivo de configuração do samba !ex. n'(e -eso*e o-de- 6*(0osts 0ost wins )%'st".
18.+.1 Ar0ui3o /etc/samba/lmhosts
Este ar#uivo é um banco de dados #ue mapeia o endereço -A com o nome 0et)-%' de uma m$#uina,semelhante ao formato do /et%/0osts. Este ar#uivo é =til #uando temos servidores #ue são acessados comfre#^4ncia, #uando servidores de rede estão em segmentos separados e não temos um servidor 1-0' entreos dois pontos para resolução de nomes, para definir m$#uinas 1-0' #ue serão acessados pela internet, etc.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 26/73
Aara ter certeza da localização do ar#uivo *(0osts em sua m$#uina, digite s()%*ient d 3 L*o%'*0ost e ve&a o diretrio de pes#uisa deste ar#uivo. Me&a um exemplo de ar#uivo *(0osts emExemplo de *(0osts do U0-3, 'eção >H.J.>.>.
% uso do ar#uivo *(0osts evita o excesso de broadcasting na rede, pois a ordem padrão usada para aresolução de nomes do s'()', procura primeiro resolver o nome procurando em ar#uivos lmhosts, depoisusando dns, $ins e broadcast . ;ependendo do pro&eto de sua rede e como as m$#uinas resolvem os nomes,
ele pode ser uma camada a mais de segurança contra um simples hi&ac*ing de servidor através de 0et)EU-ou 1-0' !isso é evitado com o uso de domínios, ve&a onfigurando um servidor A; no '8()8, 'eção>H.O.N".
7BS 0ote #ue em clientes Windows #ue este&am em outra subrede, é necess$rio o ar#uivowindows*(0osts apontando para um servidor A; mesmo #ue ele este&a apontando para o servidor1-0', caso contr$rio, a m$#uina não efetuar$ o logon.
% formato do ar#uivo *(0osts do Windows é mais complexo do #ue o do Linux pois o sistema precisa demais detalhes para resolver os nomes e tipos de m$#uinas no domínio. Me&a o modelo *(0osts.s'( em seusistema Windows para compreender seu funcionamento.
18.$.1.1 +,emplo de lmhosts do -N
% exemplo abaixo mapeia o endereço -A das m$#uinas !primeira coluna" com o respectivo nome de m$#uina!segunda coluna"<
1c.1a.?.3b se-'- 1c.1a.?.3? se-e-do( 19.1a!.5. se-wins
1c.1a.?.3 se-&d% 1c.1a.?.1 'tew'
18.$.1.2 +,emplo de lmhosts do 0indos
% ar#uivo possui uma sintaxe id4ntica a do *(0osts do U0-3, mas alguns parPmetros especiais sãoespecificados para a&udar o Windows resolver algumas coisas #ue não consegue fazer sozinho!principalmente com relação a identificação de função de m$#uinas em redes segmentadas"<
19.1a!.?.5 se-'-
19.1a!.?.1 se-e-&d% @#RE @OMdo(inio 19.1a!.?. se-e-wins ?x1e @#RE @IN;LUE se-e-&d%*(0osts
8 primeira entrada do ar#uivo é a tradicional, onde o nome da m$#uina 0et)-%' é associada ao -A. 8segunda utiliza dois parPmetros adicionais<
• @#RE 7 az a entrada ser carregada logo na inicialização e se tornando uma entrada permanente nocache 0et)-%'.
• @OM 7 Especifica #ue a m$#uina é um controlador de domínio. 8 m$#uina dever$ ter sidoconfigurada para a função de domínio, pois caso contr$rio isso simplesmente não funcionar$.
0ote #ue ambos @#RE e @OM devem ser especificados em mai=sculas. % terceiro exemplo faz umarefer4ncia permanente !_AKE" a m$#uina servidora 1-0' server$ins. 0este exemplo é usada umacaracterística especial para especificar a -; hexadecimal da m$#uina na rede )e. % #uarto utiliza um include
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 27/73
para associar outro ar#uivo ao atual, =til #uando temos um compartilhamento #ue distribui um ar#uivo*(0osts para diversas m$#uinas na rede. ;e prefer4ncia, utilize sempre uma diretiva /012 para todas asm$#uinas especificadas na diretiva /3N4L562 em seu ar#uivo de configuração.
Aara a especificação de -; de serviço manual, é necess$rio manter os >J caracteres no nome da m$#uina!preenchendo os restantes com espaços, caso se&a preciso". % =ltimo caracter é o cdigo hexadecimal #ueidentifica o serviço de rede !ve&a nmbloo*up, 'eção >H.>N.9.?.F para ver a lista de serviços e sua respectivafunção".
7BS aso crie este ar#uivo em um editor de textos do Linux, não se es#ueça de converter o ar#uivo para#ue contenha o K`6 no final das linhas.
18.+.% INS
Este é um serviço de resolução de nomes #ue funciona de forma semelhante ao ;0', s #ue voltado para o 0et)-%'. Luando uma m$#uina cliente 0et)-%' entra na rede, o servidor 1-0' pega seu nome e -A e
inclui em uma tabela para futura consulta pelos clientes da rede.
Esta tabela consultada toda vez #ue um cliente 0et)-%' solicita um nome de m$#uina, componentes dogrupo de trabalho ou domínio na rede. Uma outra aplicação importante de um servidor 1-0' é permitir aresolução de nomes em pontos de redes #ue re#uerem roteamento, a simplicidade de um protocolo nãorote$vel como o 0et)-%' fica limitada a simplicidade das instalações de rede. Um servidor 1-0' pode serinstalado em cada ponta da rede e eles trocarem dados entre si e atualizar suas tabelas de nomes+grupos detrabalhos+-As.
8 resolução de nomes de m$#uinas ser$ feita consultando diretamente a m$#uina 1-0' ao invés de broadcasting !#ue geram um tr$fego alto na rede".
18.$.2.1 Con*gurando o ser"idor 0N
Aara ativar o servidor 1-0' no s'()', inclua as seguinte linha na seção =*o)'*> do seu ar#uivo/et%/s'()'/s().%on+<
=*o)'*> wins su&&o-t 6 es wins &-ox 6 no
dns &-ox 6 no ('x wins tt* 6 51!b??
% parPmetro wins &-ox pode ser necess$rio para alguns clientes antigos #ue tenham problemas no enviode suas re#uisições 1-0'. % dns &-ox permite #ue o servidor 1-0' faça a pes#uisa no ;0' paralocalização de nomes de m$#uinas caso não exista no cache. 8mbas as opções wins su&&o-t, wins&-ox e dns &-ox tem como valor padrão n8o. Aronto, seu servidor samba agora suporta 1-0'. $cil,
pr$tico e r$pido <7"
'e estiver configurando uma subrede com mas#uerade para acesso a um A; ou um servidor 1-0', voc4ter$ #ue mexer no gate2a/ central para apontar uma rota para o gate2a/ mas#uerade. % motivo disto é
por#ue o mas#uerade do Linux atua somente nos cabeçalhos, mas o -A da estação é enviada e processada pelo A; para retornar uma resposta. ;a mesma forma, este -A é registrado no servidor 1-0' para uso dasestações de trabalho. -sto s vai ser resolvido #uando for escrito um mdulo de conntrac* para conexões'8()8 !até o lançamento do *ernel .b., isso ainda não ocorreu".
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 28/73
7BS1 0U08 configure mais de um servidor 1-0' em uma mesma rede.
7BS% 0S% especifi#ue o parPmetro wins se-e- caso este&a usando o suporte a 1-0'.
18.$.2.2 Con*gurando o Cliente 0N
Aara os clientes da rede !Linux, Windows, OS/, et%." fazer uso das vantagens da resolução de nomesusando o 1-0', é necess$rio configurar para #ue eles o utilizem para resolver os nomes de m$#uinas. -sto éfeito da seguinte forma em cada um dos sistemas operacionais<
1inu+
8dicione a linha wins se-e- 6 i&4do4se-ido-4WINS na seção global do ar#uivo/et%/s'()'/s().%on+<
=*o)'*>
wins se-e- 6 19.1a!.1.1
8ps isto, reinicie o servidor s'()'. aso este&a executando o servidor via inetd, digite<2i**'** U# n()d. 'e estiver rodando através de daemons< /et%/init.d/s'()'-est'-t. 0ão é necess$rio reiniciar o computador
8indo!s 9+
li#ue com o botão direito sobre o ícone 7mbiente de 1ede e selecione propriedades. 0a &anela deconfiguração de rede cli#ue na aba 4onfiguraç8o. 0a lista #ue aparece selecione o protocolo :A+-Ae#uivalente a sua placa de rede local e cli#ue em 0ropriedades.
0a tela de 0ropriedades %40930 cli#ue em 4onfigurações #3NS e mar#ue a opção 7tivar resoluç8o
#3NS . ;igite o endereço do servidor 1-0' e cli#ue em 7dicionar .
7BS 'e utilizar um servidor ;XA em sua rede local e o endereço do servidor 1-0' também éoferecido através dele, voc4 poder$ marcar a opção 5sar 640 para resoluç8o #3NS . 0ote #ue estaopção somente estar$ disponível se escolher a opção ;bter um endereço 30 automaticamente na tab
2ndereços 30 . li#ue em %Y até fechar todas as telas e reinicie #uando o computador perguntar <7"
18. S"r3idor d" data/,ora
% samba pode atuar como um servidor de data+hora a&ustando o hor$rio de suas estações de trabalho com oservidor da rede.
8s estações clientes poderão executar o comando net para sincronizar seu relgio durante a inicialização do1indo2s, ou durante o logon da rede através do script de logon, caso tenha configurado o servidor s'()'
para logon em domínios 0:.
18..1 Con6i4uraço do #"r3iço d" data/,ora no SAMBA
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 29/73
Aara configurar o samba para atuar como servidor de data+hora de sua rede, adicione o seguinte parPmetro naseção global do ar#uivo de configuração /et%/s'()'/s().%on+ <
=*o)'*> ti(e se-e- 6 es
Aara sincronizar a data+hora das estações de trabalho usando o servidor samba, ve&a 'incronizando adata+hora no liente, 'eção >H.I.9. aso o seu servidor '8()8 também se&a o servidor de autenticação
A; da rede, a melhor forma de se fazer isto é colocar o comando net ti(e se-ido-4SAMBA/set /es em um script #ue ser$ executado pela estação.
7BS recomend$vel instalar um cliente ntp para manter o relgio do servidor sempre atualizado,conse#^entemente mantendo a data+hora das estações também em sincronismo . .
18..% SincroniDando a data/,ora no Cli"nt"
0a estação cliente 1indo2s, use o seguinte comando<NET TIME SERfIOR /WOR$:ROU#:RU#O /SET /gES
Um local interessante para colocação deste comando é na pasta -niciar da estação 1indo2s, pois todos oscomandos #ue este&am nesta pasta são executados #uando o sistema é iniciado.
Exemplos<
• net ti(e *inux /set /es 7 'incroniza a hora com o servidor ClinuxC e não pedeconfirmação !+/es".
• net ti(e *inux /WOR$:ROU#&inui( /set /es 7 'incroniza a hora com oservidor ClinuxC do grupo de trabalho pinguim !+1%KY5K%UA<pinguim" e não pede confirmação!+/es".
18.2 Con6i4uraço "$ Domínio
Esta seção descreve todos os passos necess$rios para configurar um servidor de domínio A; ! 0rimary
6omain 4ontrol " com perfis mveis e outros recursos #ue tornam =teis e seguras a administração de umarede 0et)EU-.
18.2.1 U$a )r"3" introduço a u$ >o$ínio d" r"d"
Um domínio de rede consiste em uma m$#uina central chamada de A;, #ue mantém o controle de todas ascontas de usu$rios+grupos e permissões para acesso a rede 0et)EU-. % acesso desta forma é centralizado,como vantagem disto voc4 pode usar o nível de acesso por usu$rios nas m$#uinas, definindo #uais usu$riosou grupos terão acesso de leitura+gravação.
permitido criar scripts de logon, assim comandos programados pelo administrador serão executados nasm$#uinas clientes durante o logon no domínio !ve&a riando 'cripts de logon, 'eção >H.O.O".
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 30/73
% nome da m$#uina é protegido contra hi&ac*ing através de contas de m$#uinas #ue fazem parte do domínio!ve&a ontas de m$#uinas de domínio, 'eção >H.O.J". -sto s é possível em clientes Linux, Windows NT,Windows ??? e Windows "#.
Moc4 poder$ usar perfis mveis, copiando todas as personalizações do seu des*top para #ual#uer m$#uina narede #ue voc4 faça o logon. Aara o administrador, ele poder$ definir políticas com o #o*edit e outros
programas #ue serão salvas &unto com o perfil do usu$rio, valendo para #ual#uer m$#uina #ue ele seautenti#ue na rede !ve&a riando 'cripts de logon, 'eção >H.O.O".
'e voc4 dese&a iniciar logo a configuração do seu domínio, siga até onfigurando um servidor A; no'8()8, 'eção >H.O.N.
18.2.% Local Ma#t"r Bro#"r
a m$#uina #ue ganhou a eleição no segmento local de rede !ve&a 0íveis de sistema para eleição de rede,'eção >H.9.>9". 6ogo #ue é declarada o local master bro$ser , ela começa a receber via broadcasting a lista
de recursos compartilhados por cada m$#uina para montar a lista principal #ue ser$ retornada para outrasm$#uinas do grupo de trabalho ou outras subredes #ue solicite os recursos compartilhados por a#uele grupo.
Uma nova eleição é feita a cada FI minutos ou #uando a m$#uina escolhida é desligada.
18.2.( >o$ain Ma#t"r Bro#"r
Luando o local master bro2se é eleito no segmento de rede, uma consulta é feita ao servidor 1-0' parasaber #uem é o ;omain (aster )ro2se da rede para enviar a lista de compartilhamentos. 8 m$#uinaescolhida como 6ocal (aster )ro2se envia pacotes para a porta U;A >FH do ;omain (aster e esteresponde pedindo a lista de todos os nomes de m$#uinas #ue o local master conhece, e também o registracomo local master para a#uele segmento de rede.
aso tenha configurado sua m$#uina para ser o domain master bro2ser da rede !também chamado decontrolador principal de dom(nio ou A;", ela tentar$ se tornar a m$#uina #ue ter$ a lista completa derecursos enviados pelos locais master bro2sers de cada segmento de rede. Um A; também é o local master
bro2se de seu prprio segmento de rede.
possível ter mais de um domain master bro2se, desde #ue cada um controle seu prprio domínio, mas não
é possível ter 9 domain master bro2sers em um mesmo domínio. aso utilize um servidor WINS em suarede, o A; far$ consultas constantes em sua base de dados para obter a lista de domínios registrados. %domínio é identificado pelo caracter )b na rede !ve&a nmbloo*up, 'eção >H.>N.9.?.F".
7BS % 1indo2s 0: configurado como A; sempre tenta se tornar o domain master bro2ser em seugrupo de trabalho. 0ão sendo possível retirar o 1indo2s 0: configurado como A; do domínio !poralguma outra razão", a =nica forma ser$ deixar ele ser o domain master bro2ser. 'e este for o caso, voc4
poder$ continuar lendo este documento para aprender mais sobre 0et)-%' e talvez ainda mudar de idéiasobre manter o 0: na rede aps ver as características do '8()8 \7"
18.2.* Con6i4urando u$ #"r3idor E>C no SAMBA
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 31/73
Esta é a parte interessante do guia, a pr$tica. Aara os administradores #ue conhecem através da experi4ncia prpria os problemas e definições do '8()8, grande parte do guia foi apenas uma revisão !por favor, sefaltou algo #ue acha interessante, me notifi#uem #ue incluirei na prxima versão e colocarei uma nota nolançamento e na p$gina com os devidos créditos <7""
Aara configurar uma m$#uina para ser o A; !4ontroladora 0rincipal de 6om(nio ou 0rimary 6omain
4ontrol ", siga esta se#^4ncia<
• Xabilite o suporte a senhas criptografadas. aso ainda não tenha feito isso, leia a seção 8tivando osuporte a senhas criptografadas, 'eção >H.H.
• 0a seção !global", insira+modifi#ue os seguintes parPmetros<
• Identi+i%'78o d' (Duin' e do(nio
• net)ios n'(e 6 *edson
• wo-2-ou& 6 +o%'*inux
•
• neis de '%esso e +un7Ves do se-ido-
• se%u-it 6 use-
• do('in ('ste- 6 es
• &-e+e-ed ('ste- 6 es• *o%'* ('ste- 6 es
• • sen0's %-i&to-'+'d's
• en%-&t &'sswo-ds 6 es
• s() &'sswd +i*e 6 /et%/s'()'/s()&'sswd.d)
%nde os parPmetros significam<
o net)ios n'(e 6 *edson 7 0ome do computador. Este também ser$ o nome usado pelas outras m$#uinas clientes #uando for configurar o A; !controlador de dom(nio".
o wo-2-ou& 6 +o%'*inux 7 0ome do domínio #ue est$ criando. :odas as m$#uinas #ue pertencerem a este domínio, terão o nível de acesso definido pelo A;. 0ote #ue o parPmetrowo-2-ou& também é usado ao especificar o nome do grupo de trabalho #uando se é usadoa configuração grupo de trabalho !onfiguração em :-u&o de T-')'*0o , 'eção >H.N".
o se%u-it 6 use- 7 Ke#uerido para controle de acesso por domínio, &$ #ue é utilizado ocontrole de acesso local usando usu$rios e grupos locais.
o do('in ('ste- 6 es 7 Especifica se est$ m$#uina est$ sendo configurada para ser oA; da rede.
7BS Aor favor, certifi#ue7se #ue não existe outro A; no domínio. Me&a ;omain (aster)ro2ser, 'eção >H.O.F. &-e+e-ed ('ste- 6 es 7 orça uma eleição com algumasvantagens para seu servidor ser eleito sempre como o controlador de domínio. -sto garante#ue a m$#uina SAMBA sempre se&a o A;. Me&a 0avegação no servidor+tipo de servidor, 'eção>H.9.H.I. *o%'* ('ste- 6 es 7 ;efine se a m$#uina ser$ o controlador principal dogrupo de trabalho local #ue ela pertence.
Aronto, agora teste se existem erros em sua configuração executando o comando test&'-( !)uscando problemas na configuração, 'eção >H.9.>>" e corri&a7os se existir. Kesta agora reiniciar o servidor n()d para#ue todas as suas alterações tenham efeito. Aara adicionar seus clientes a um domínio, ve&a ontas dem$#uinas de domínio, 'eção >H.O.J e onfigurando clientes em ;omínio, 'eção >H.>N.F.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 32/73
18.2.+ Conta# d" $;0uina# d" do$ínio
Uma conta de m$#uina de domínio garante #ue nenhum outro computador possa utilizar o mesmo nome deuma m$#uina confi$vel e assim utilizar os compartilhamentos #ue ela tem permissão. %s clientes WindowsNT, Windows "# e Windows ??? precisam de uma conta de m$#uina para ter acesso ao domínio e seusrecursos. 8 criação de uma conta de m$#uina é bastante semelhante a criação da conta de um usu$rio normalno domínio.
Existe uma coisa #ue precisa sempre ter em mente #uando estiver configurando uma conta de m$#uina dedomínio< Luando voc4 cria uma conta para a m$#uina, ela entra e altera sua senha no prximo logon usandoum CsegredoC entre ela e o A;, este segredo a identifica sempre como dona da#uele nome 0et)-%', ouse&a, até o primeiro logon no 0:, outra m$#uina com o mesmo nome 0et)-%' poder$ ser a dona do netbiosna#uele domínio caso faça o logon no domínio. 8 =nica forma de se evitar isto é logar imediatamente nodomínio 0: assim #ue criar as contas de m$#uinas.
Existem duas formas para criação de contas de m$#uinas< manual e autom$tica.
18.'.$.1 Criando contas de máuinas manualmente
Aara criar uma conta de domínio para a m$#uina ('ste-, siga estes 9 passos<
rie uma conta de m$#uina no ar#uivo /et%/&'sswd<
use-'dd do('in('% % M'uin' de o(inio s /)in/+'*se d /de/nu** ('ste-<
% comando acima cria uma conta para a m$#uina ('ste-< e torna ela parte do grupo do('in('%. necess$rio especificar o caracter < aps o nome da m$#uina para criar uma conta de m$#uina no domínio,caso contr$rio o prximo passo ir$ falhar. 8credito #ue nas prximas versões do '8()8 se&a desnecess$rioo uso do ar#uivo /et%/&'sswd para a criação de contas de m$#uina.
rie uma conta de m$#uina no ar#uivo /et%/s'()'/s()&'sswd <
s()&'sswd ( ' ('ste-
-sto cria uma conta de m$#uina para o computador ('ste- no ar#uivo /et%/s'()'/s()&'sswd . 0ote #uea criação de uma conta de m$#uina é muito semelhante a criação de um usu$rio apenas precisa adicionar aopção (. Luando for criar uma conta com o s()&'sswd 0ão é necess$rio especificar < no final do nome da
m$#uina.
% mais importante< Entre IM?>IAAM?N? no domínio aps criar a conta de m$#uina usando a conta deadministrador de domínio criada no '8()8 !ve&a riando uma conta de administrador de domínio, 'eção>H.O.I" como a m$#uina ainda não se autenticou pela primeira vez, #ual#uer m$#uina #ue tenha o mesmonome e entre no domínio, poder$ alocar o nome recém criado. 8 =nica forma de resolver este problema, éapagando a conta de m$#uina e criando7a novamente no domínio. 'iga os passos de acordo com o sistemaoperacional em onfigurando clientes em ;omínio, 'eção >H.>N.F para colocar seus clientes em domínio.
7BS1 omo segurança, recomendo desativar a conta de m$#uina no /et%/&'sswd usando o comando&'sswd * %ont'. Esta conta 0U08 dever$ ser usada para login, isto deixa nossa configuração um
pouco mais restrita.
7BS% 8 localização do ar#uivo de senhas criptografadas do '8()8 pode ser modificado através da opçãos() &'sswd +i*e na seção =*o)'*> do ar#uivo s().%on+.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 33/73
7BS( %s #ue tem experi4ncia com 0: e 1indo2s 9GGG devem ter notado #ue este método é semelhante aodo Server <anager das ferramentas de gerenciamentos de servidores existentes no 1indo2s.
18.'.$.2 Criando contas de máuinas automaticamente
8través deste método, as m$#uinas clientes terão sua conta criada automaticamente assim #ue se&a feita aentrada no domínio usando a conta do administrador de domínio no '8()8. Este é o métodorecomend$vel de colocação de m$#uinas no domínio por ser mais pr$tica ao invés do método manual. 0ote#ue normalmente isto funciona para o 1in3A e 1in9GGG mas não funciona em redes com o 0:N, devendoser criadas contas de m$#uinas usando o método manual.
Aara fazer a configuração autom$tica, colo#ue a seguinte linha no ar#uivo s().%on+ na seção =*o)'*><
'dd use- s%-i&t 6 use-'dd do('in('% % M'uin' de o(inio s /)in/+'*se d/de/nu** Cu
8ssim, a conta de m$#uina ser$ automaticamente criada #uando o administrador fizer sua configuração nodomínio !ve&a riando uma conta de administrador de domínio, 'eção >H.O.I". 0o '8()8 F.G, a opção'dd ('%0ine s%-i&t dever$ ser usada no lugar de 'dd use- s%-i&t para adicionar uma m$#uinano domínio.
18.2. Criando u$a conta d" ad$ini#trador d" do$ínio
8 conta de administrador do domínio é a conta #ue tem permissões para realizar operações de manutenção eadministração de m$#uinas #ue compõem o domínio de rede. om ela é possível, entre outras coisas,
adicionar e remover m$#uina #ue compõem o domínio. Aara especificar #ue contas de usu$rios do ar#uivo/et%/s'()'/s()&'sswd #ue terão poderes administrativos, utilize a opção do('in 'd(in -ou& ou'd(in use-s na seção =*o)'*> do ar#uivo /et%/s'()'/s().%on+.
% parPmetro 'd(in use-s permite #ue todas as operações realizadas pelo usu$rio se&am feitas com poderes de usu$rio -oot. -sto é necess$rio por#ue o ar#uivo s()&'sswd !usado para a&ustar as contas dem$#uinas" normalmente tem permissões de leitura+gravação somente para root. % domain admin group
permite #ue usu$rios específicos ou usu$rios do grupo especificado se&am parte do grupo de administradoresdo domínio para adicionar m$#uinas, etc. Aor exemplo, para tornar o usu$rio *edson com privilégios
para adicionar+remover m$#uinas no domínio<
=*o)'*> ... 'd(in use-s 6 *edson ou do('in 'd(in -ou& 6 `'d(ins *edson
-sto permite #ue o usu$rio *edson possa adicionar+remover m$#uinas do domínio 0: !ve&aonfigurando clientes em ;omínio, 'eção >H.>N.F" entre outras tarefas. Aor segurança, recomendo #uecolo#ue esta conta no in'*id use-s de cada compartilhamento para #ue se&a utilizada somente parafins de gerenciamento de m$#uinas no domínio, a menos #ue dese&e ter acesso total aos compartilhamentosdo servidor !nesse caso, tenha consci4ncia do nível de acesso #ue esta conta possui e dos problemas #ue
pode causar caso caia em mãos erradas".
7BS1 :enha 'E(AKE bastante cuidado com #uem dar$ poderes de administrador de domínio, pois todasua rede poder$ ficar vulner$vel caso os cuidados de administração não este&am em boas mãos.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 34/73
7BS% Em versões antigas do '8()8, somente o usu$rio -oot tem poderes para adicionar m$#uinas nodomínio usando o parPmetro domain admins group, devendo ser também adicionado no ar#uivo s()&'sswd
para #ue possa fazer isto e obviamente não dever$ estar listado em in'*id use-s. (esmo assim,existem outras formas explicadas no guia de se contornar o risco causado pela liberação de acesso dousu$rio -oot.
18.2.2 Criando Script# d" lo4on
Uma dos recursos mais =teis em um domínio é a possibilidade de se executar comandos nas m$#uinascliente #uando fazem o logon no domínio. ;esta forma, é possível instalar programas, executar anti7vírus,mapear compartilhamentos automaticamente no clientes, etc. 8 programação de scripts de logon é feitausando a linguagem em lote do ;%', com possibilidades de usar vari$veis de ambiente, cpia de ar#uivosentre servidores, etc. % guia não ir$ abordar a programação em linguagem de lote, mas isto é simples de seencontrar na internet e mesmo a documentação #ue acompanha o prprio Windows é =til.
Aara habilitar o recurso de scripts de logon na m$#uina, adicione os seguintes parPmetros no ar#uivos().%on+<
=*o)'*> do('in *oons 6 es *oon s%-i&t 6 *oon.%(d
=net*oon> &'t0 6 /&u)/s'()'/net*oon -e'd on* 6 es w-ite *ist 6 nt'd(in
'egue a descrição de cada parPmetro com detalhes importantes para a configuração e funcionamento do
recurso de logon<
• do('in *oons 7 ;eve ser definido para es para ativar o recurso de logon scripts do '8()8.
• *oon d-ie é a unidade de disco #ue ter$ o homedir do usu$rio mapeado. -sto somente é usado por m$#uinas 0:+9GGG+3A.
• *oon s%-i&t 7 ;efine #ual é o script #ue ser$ executado na m$#uina cliente #uando fizer ologon. Ele deve ser gravado no diretrio especificado pela opção &'t0 do compartilhamento=net*oon> !/&u)/s'()'/net*oon no exemplo". %s scripts de logon podem ser tanto em
formato .)'t ou .%(d. 'e for programar um script universal, é recomend$vel o uso do formato .)'t por ser compatível tanto com Win9" e WinNT.
Um detalhe #ue deve ser lembrado durante a programação do script de logon é #ue ele >?!? seguir oformato ;%', ou se&a, ter os caracteres ;RhL como finalizador de linhas. Aara utilizar editores do U0-3
para escrever este script, ser$ necess$rio executar o programa +*i& !+*i& ( ) '-uio" ouunixdos no ar#uivo para converte7lo em formato compatível com o ;%'.
'egue abaixo um exemplo de script de logon #ue detecta #uando o cliente é 1indo2s ?J+0:, a&usta a horacom o servidor e mapeia 9 unidades de disco<
`e%0o o++ %*s -e( Loon S%-i&t deseno*ido &o- :*edson M']io*i
-e( d' Si*' %o(o (ode*o &'-' o ui' o%' :NU/Linux -e( -e( Este s%-i&t &ode se- uti*i]'do &'-' +ins didDti%os
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 35/73
-e( e dist-i)udo *i-e(ente de '%o-do %o( os te-(os -e( d' :#L
-e(e%0o Au'-de enu'nto su' (Duin' e+etu'
e%0o o *oon n' -ede do do(nio +o%'*inux. -e(
i+ COSC66Windows4NT oto NT??? -e(
e%0o
e%0o SO COSC e%0o UsuD-io CUSERNAMEC e%0o :-u&o de T-')'*0o CLAN:ROU#C e%0o Se-ido- COMINIOC e%0o e%0o Re%u&e-'ndo %o(&'-ti*0'(entos -e( ('&ei' o %o(&'-ti*0'(ento &u)*i%o de+inido no se-ido- net use e *edson&u)*i%o e%0o Sin%-oni]'ndo d't'/0o-' -e( sin%-oni]' ' d't'/0o-' %o( o se-ido- net ti(e *edson /set /es oto +i( -e( -e( NT??? e%0o e%0o SO COSC e%0o UsuD-io CUSERNAMEC e%0o Windows Cwindi-C e%0o Loon de do(nio CLO:ONSERfERC e%0o e%0o Re%u&e-'ndo %o(&'-ti*0'(entos net use e *edson&u)*i%o /&e-sistentes e%0o Sin%-oni]'ndo d't'/0o-' net ti(e *edson /set /es -e( -e( oto +i( -e( +i(
0ote no exemplo acima #ue não podem haver linhas em branco, voc4 dever$ utilizar a palavra rem !coment$rio em ar#uivos em lote" em seu lugar. 0ote #ue existem diferenças entre o comando net do1indo2s ?x+(E e do 0:, as vari$veis também possuem um significado diferente entre estes 9 sistemas, istoexplica a necessidade de se incluir um bloco separado detectando a exist4ncia de #ual sistema est$ sendoefetuado o logon.
8 lista completa de vari$veis disponíveis para cada sistema operacional pode ser obtida colocando7se setj%'-s.txt #ue gravar$ uma lista de vari$veis disponíveis durante o logon no ar#uivo %'-s.txt da m$#uina cliente.
7BS aso especifi#ue um computador #ue contém o script de login, lembre7se de faze7lo sempre com aoinvés de / para não ter incompatibilidade com o Windows 95/3.11.
A?N7 6embre7se #ue copiar e colar pode não funcionar para este script. 6eia novamente esta seçãodo guia se estiver em d=vidas.
18.2.8 Con6i4urando p"r6i# d" u#u;rio#
%s profiles permitem #ue os clientes utilizem o mesmo perfil em #ual#uer m$#uina #ue ele se autenti#ue narede. -sto é feito aps a autenticação copiando os ar#uivos #ue contém os dados de personalização de
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 36/73
usu$rios !use-.d't, NTuse-.d't" para a m$#uina local. Este processo também inclui a cpia de papéis de parede, lin*s da $rea de trabalho, cache do -E, etc. Aara configurar o recurso de perfis mveis no domínio, énecess$rio adicionar os seguintes parPmetros no seu ar#uivo s().%on+<
=*o)'*> se%u-it 6 use- en%-&t &'sswo-ds 6 es do('in *oons 6 es
*oon d-ie 6 *oon &'t0 6 CN&-o+i*esNTCu *oon 0o(e 6 CN&-o+i*esCu &-ese-e %'se 6 es s0o-t &-ese-e %'se 6 es %'se sensitie 6 no
=&-o+i*es> &'t0 6 /&u)/&-o+i*es -e'd on* 6 no %-e'te ('s2 6 ?a?? di-e%to- ('s2 6 ?c??
=&-o+i*esNT> &'t0 6 /&u)/&-o+i*esNT -e'd on* 6 no %-e'te ('s2 6 ?a?? di-e%to- ('s2 6 ?c??
'egue a descrição dos parPmetros de detalhes para seu funcionamento<
• % parPmetro do('in *oons 6 es especifica #ue o servidor ser$ usado para fazer logons nodomínio. Luando este parPmetro é definido para es, a m$#uina automaticamente tentar$ ser oA;.
• *oon &'t0 e *oon 0o(e definem !respectivamente" o diretrio de logon do/&u)/&-o+i*esNT/usu'-io !NT" e /&u)/&-o+i*es/usu'-io !Win95" respectivamente. ;urante ologon, a vari$vel CN ser$ substituída pelo nome do servidor !ou servidor de diretrios, se for o caso"e a vari$vel Cu pelo nome do usu$rio.
% sistema operacional de origem é detectado no momento da conexão. -sto significa #ue o usu$rio poder$ ter 9 profiles diferentes, de acordo com o tipo de sistema operacional cliente #ue estiverconectando.
• % diretrio home do usu$rio ser$ mapeado para a unidade !*oon d-ie 6 0". % parPmetro *oon d-ie somente é usado pelo 0:+9GGG+3A.
• 8s opções &-ese-e %'se, s0o-t &-ese-e %'se e %'se sensitie permite #ue osnomes dos ar#uivos+diretrios tenham as letras mai=sculas+min=sculas mantidas, isto é re#uerido
para os profiles.
% compartilhamento dos 9 profiles pode ser feito sem tantos traumas, mas isto não ser$ explicado profundamente no guia pois o procedimento segue o mesmo padrão do 0: sendo bastante documentado nainternet.
0ote #ue é possível definir um servidor separado para servir os profiles para um domínio modificando avari$vel CN para apontar direto para a m$#uina. 0a m$#uina #ue armazenar$ os profiles, basta definir o
nível de segurança por se-ido- !se%u-it 6 se-e-" e o endereço -A do servidor de senhas!&'sswo-d se-e- 6 I#".
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 37/73
7BS1 %s perfis s funcionam caso o servidor de profiles contenha a opção se%u-it 6 use- een%-&t &'sswo-ds 6 es ou se%u-it 6 se-e- e &'sswo-d se-e- 6ende-e7o4I#. aso tenha problemas, verifi#ue se uma destas alternativas est$ correta.
7BS% Luando utiliza o '8()8 com o 1indo2s 9GGG 'A9, é necess$rio adicionar a opção nt '%*su&&o-t 6 no no compartilhamento =&-o+i*es>, caso contr$rio, ele retornar$ um erro de acesso aocompartilhamento.
18.2.5 Modi6icaç:"# d" p"r$i##:"# d" ac"##o p"lo# cli"nt"# do do$ínio
Um usu$rio do 1indo2s 0: !ou versões baseadas neste" pode modificar as permissões dosar#uivos+diretrios #ue tem acesso através da caixa de di$logo de listas de acesso do 0:, lembrando #ueestas permissões nunca substituirão as definidas pelo administrador local.
8 opção Cnt acl supportC dever$ estar definida para C/esC na seção =*o)'*> do ar#uivo de configuração,caso contr$rio voc4 não ter$ acesso para mudar as permissões através de caixas de di$logo do 0:.
18.8 Ati3ando o #uport" a #"n,a# cripto4ra6ada#
% uso de senhas criptografadas é um re#uisito #uando voc4 dese&a configurar o '8()8 para ser umservidor A; ou um cliente de um domínio. Luando utiliza senhas criptografadas, elas trafegam em formatoseguro através da rede, dificultando a captura por outras pessoas. Em versões mais recentes do 1indo2s !a
partir da %'K+9 e 0: N service pac*F" o suporte a senhas criptografadas vem habilitado como padrão paralogin e utilização de serviços da rede. 0ão é recomend$vel desativar o uso de senhas criptografadas, mas se
mesmo assim for necess$rio ve&a 'enhas criptografadas ou em texto puro, 'eção >H.>9.>J.
Luando usamos senhas criptografadas, elas são armazenadas no ar#uivo /et%/s'()'/s()&'sswd ao invésdo /et%/&'sswd, isto permite #ue possamos controlar as permissões de usu$rios separadamente das dosistema e diferenciar os logins do domínio dos logins do sistema !usu$rios #ue possuem shell". aso tenhaum servidor #ue &$ possua muitas contas de usu$rios acessando em texto plano, recomendo ler (igrando desenhas texto plano para criptografadas, 'eção >H.H.> para facilitar o processo de migração de contas.
% utilit$rio s()&'sswd é o programa utilizado para gerenciar este ar#uivo de senhas e também o status decontas de usu$rios+m$#uinas do domínio. 'iga estes passos para ativar o uso de senhas criptografadas no'8()8<
Edite o ar#uivo /et%/s'()'/s().%on+ e altere as seguintes linhas na seção =*o)'*> para adicionaro suporte a senhas criptografadas<
=*o)'*> en%-&t &'sswo-ds 6 t-ue s() &'sswd +i*e 6/et%/s'()'/s()&'sswd
8 linha en%-&t &'sswo-ds 6 t-ue diz para usar senhas criptografadas e #ue o ar#uivo/et%/s'()'/s()&'sswd contém as senhas !s() &'sswd +i*e 6/et%/s'()'/s()&'sswd".
aso sua m$#uina se&a apenas um cliente de rede !e não um A;", voc4 pode pular para o passo onde oSAMBA é reiniciado !no final dessa lista", não é necess$ria a criação do ar#uivo de senhas para autenticação
pois os usu$rios serão validados no servidor.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 38/73
Execute o comando (2s()&'sswd k/et%/&'sswd j/et%/s'()'/s()&'sswd. Ele pega todaa base de usu$rios do /et%/&'sswd e gera um ar#uivo /et%/s'()'/s()&'sswd contendo as contas destesusu$rios. Aor padrão, todas as contas são ;E'8:-M8;8' por segurança #uando este novo ar#uivo é criado.% novo ar#uivo ter$ o seguinte formato<
*edson1??""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""=U>L;T????????:*edson M']io*i d' Si*',,, eo'ni1??b""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""=U
>L;T????????:eo'ni M']io*i d' Si*',,,
%s campos são separados por C<C e cada campo possui o seguinte significado<
% primeiro é o nome de usu$rio
U-; do usu$rio no sistema U0-3 #ue a conta ser$ mapeada.
'enha 6an (anager codificada em hex F9 criado usando criptografia ;E' usada pelo 1indo2s?J+?H+(E.
'enha hash criada em formato do 0: codificada em hex F9. Esta senha é criada pegando a senha dousu$rio, convertendo7a para mai=sculas, adicionados J b/tes de caracteres nulos e aplicando o algoritmomdN.
%pções da conta criada no s()&'sswd<
• U 7 Especifica #ue a conta é uma conta de usu$rio normal !ve&a 8dicionando usu$rios no s()&'sswd ,'eção >H.H.9"
• 7 'ignifica #ue a conta foi desativada com a opção d !ve&a ;esabilitando uma conta nos()&'sswd , 'eção >H.H.N".
• W 7 Especifica #ue a conta é uma conta de m$#uina criada com a opção ( !ve&a ontas de m$#uinasde domínio, 'eção >H.O.J".
• N 7 8 conta não possui senha !ve&a ;efinindo acesso sem senha para o usu$rio, 'eção >H.H.O".
%s caracteres C333333333333333C no campo da senha, indica #ue a conta foi recém criada, e portanto est$ desativada. % prximo passo é ativar a conta para ser usada pelo '8()8.
A?N7 % método de criptografia usado neste ar#uivo não é totalmente seguro. Kecomendo manter oar#uivo de senhas s()&'sswd em um diretrio com a permissão de leitura somente pelo -oot.
Aara ativar a conta do usu$rio *edson, usamos o comando<
s()&'sswd U *edson
;igite a senha do usu$rio e repita para confirmar. 8ssim #ue a senha for definida, a conta do usu$rio éativada. Moc4 também pode especificar a opção C7sC para entrar com a senha pela entrada padrão !muito =tilem scripts". 8penas tenha cuidado para #ue esta senha não se&a divulgada em seus ar#uivos+processos.
Keinicie o processo do '8()8 !ve&a -niciando o servidor+reiniciando+recarregando a configuração,'eção >H.>.?".
Merifi#ue se o suporte a senhas criptografadas est$ funcionando com o comando<
s()%*ient L *o%'*0ost U *edson
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 39/73
'ubstitua *o%'*0ost pelo -A do servidor e *edson pelo usu$rio. aso obtenha a mensagemsession setu& +'i*ed NT4STATUS4LO:ON4AILURE significa #ue a senha informada est$incorreta.
18.8.1 Mi4rando d" #"n,a# t"xto plano para cripto4ra6ada#
0o '8()8, é possível fazer um processo de migração de senhas em texto plano de usu$rios paracriptografadas sem #ue eles deixem de acessar o servidor durante esta mudança. aso este se&a seu caso,insira o parPmetro
u&d'te en%-&ted 6 es
na seção =*o)'*> do seu ar#uivo de configuração s().%on+. 8 senha criptografada é definida assim #ueo usu$rio se logar usando sua senha em texto plano. 0ão se es#ueça de desativar esta opção ou remove7laaps o prazo necess$rio para #ue todas as senhas se&am trocadas.
18.8.% Adicionando u#u;rio# no smbpasswd
8 adição de um usu$rio no s()&'sswd segue duas etapas< primeiro é necess$rio adiciona7lo no sistema como 'dduse- e depois no samba com o s()&'sswd. Moc4 deve estar se perguntando #ual a vantagem de se terum ar#uivo separado de usu$rios se ainda é preciso criar o login nos dois ar#uivos\ % SAMBA para fazer ocontrole de acesso aos ar#uivos utiliza além dos mecanismos tradicionais do 0:, o controle de permissões anível U0-3 para manter os ar#uivos ainda mais restritos. 8lém disso, ser$ necess$rio usu$rios e grupos paracriação e acesso ao sistema.
8dicione um usu$rio no sistema com o comando<
use-'dd -u&odo(inio % UsuD-io de o(nio s /)in/+'*se d /de/nu** o'o
Este comando adiciona o usu$rio C&oaoC no grupo -u&odo(inio e não define hem uma shell, diretriohome nem senha para este usu$rio. -sto mantém o sistema mais seguro e não interfere no funcionamento do'8()8, pois somente é necess$rio para fazer o mapeamento de U-;+5-; de usu$rios com as permissõesdo sistema U0-3.
interessante padronizar os usu$rios criados no domínio para um mesmo grupo para pes#uisa e outras
coisas. rie o usu$rio C&oaoC no '8()8<
s()&'sswd ' o'o
'er$ solicitada a senha do usu$rio.
18.8.( "$o3"ndo u#u;rio# do smbpasswd
Utilize o comando s()&'sswd x usu'-io para remover um usu$rio do ar#uivo s()&'sswd. 'edese&ar, voc4 pode manter o usu$rio no /et%/&'sswd ou remove7lo com o use-de*.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 40/73
7BS Kemovendo um usu$rio deste ar#uivo far$ #ue ele não tenha mais acesso ao '8()8. Utilize ocomando s()&'sswd ' teste
18.8.* >"#a)ilitando u$a conta no smbpasswd
omo administrador, pode ser necess$rio #ue precise desativar temporariamente uma conta de usu$rio poralguma situação #ual#uer !m$ utilização de recursos, d=vida se a conta est$ sendo usada, para #ue ele liguereclamando de autenticação para ter a#uela dese&ada conversa !hehe", etc.". Kemover uma conta enovamente adiciona7la então não é uma situação muito pr$tica. Utilize então o seguinte comando paradesativar uma conta de usu$rio<
s()&'sswd d usu'-io
Luando a conta de usu$rio é desativada, uma flag C;C é adicionada @s opções do usu$rio !&unto com asopções CU3C". Me&a Xabilitando uma conta no s()&'sswd , 'eção >H.H.J para reativar a conta.
18.8.+ &a)ilitando u$a conta no smbpasswd
Uma conta desativada com o uso do comando s()&'sswd d pode ser novamente ativada usando<
s()&'sswd e usu'-io
18.8. Alt"rando a #"n,a d" u$ u#u;rio
% utilit$rio s()&'sswd pode ser usado tanto para alterar a senha de usu$rios locais do SAMBA ou de umaconta em um servidor remoto !se&a SAMBA, NT, W$". Aara alterar a senha de um usu$rio local, digite<
s()&'sswd U usu'-io
6he ser$ pedida a antiga senha, a nova senha e a confirmação. aso se&a o usu$rio -oot, somente a novasenha e a confirmação. -sto é mecanismo de proteção para usu$rios #ue es#uecem a senha \7"
Aara alterar a senha de um usu$rio remoto, utilize<
s()&'sswd - se-ido- U usu'-io
0ote #ue apenas foi adicionada a opção - se-ido- comparado com a opção anterior. 8 diferença é #uea senha antiga do usu$rio sempre ser$ solicitada para troca !pois o root das 9 m$#uinas pode não ser omesmo".
18.8.2 >"6inindo ac"##o #"$ #"n,a para o u#u;rio
Aara fazer um usu$rio acessar sem senha, use o comando<
s()&'sswd n usu'-io
-sto é completamente desencora&ado e necessita #ue a opção nu** &'sswo-ds da seção =*o)'*> noar#uivo s().%on+ este&a a&ustada para yes !0u" N7 o padro".
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 41/73
18.5 Ati3ando o #uport" a #"n,a# "$ t"xto plano
Esta forma de autenticação é enviada por implementações 0et)-%' antigas, como a encontrada no L'n
M'n'e-, Windows +o- Wo-2-ou&s e Windows 95 OSR1. 8s versões mais novas destas implementaçõesenviam a senha em formato criptografado, sendo necess$rio também usar o formato criptografado no
'8()8 para #ue possa se autenticar !ve&a 8tivando o suporte a senhas criptografadas, 'eção >H.H".
Em 'enhas criptografadas ou em texto puro, 'eção >H.>9.>J é feita uma comparação entre o uso deautenticação usando senhas em texto plano e senhas criptografadas. Em geral, o administrador prefere autilização da autenticação usando texto plano #uando dese&a usar o /et%/&'sswd para autenticação e est$usando grupos de trabalho é necess$rio usar senhas criptografadas para autenticação".
Aara configurar o SAMBA para utilizar senhas em texto, modifi#ue o parPmetro en%-&t &'sswo-ds parano<
=*o)'*>
en%-&t &'sswo-ds 6 no
Keinicie o SAMBA !-niciando o servidor+reiniciando+recarregando a configuração, 'eção >H.>.?" e a partir deagora, ele usar$ o /et%/&'sswd para autenticação.
7BS :enha certeza de não estar participando de um domínio ou #ue sua m$#uina se&a o A; antes de fazer esta modificação.
18.5.1 Con6i4urando o ac"##o d" cli"nt"# para u#o d" #"n,a# "$ t"xto planoEsta seção descreve como configurar clientes para acessar o servidor SAMBA usando autenticação em texto
plano. 8tualmente o guia cobre os seguintes clientes<
• 6an (anager, 'eção >H.?.>.> • 1indo2s for 1or*groups, 'eção >H.?.>.9
• 1indo2s ?J + 1indo2s ?J8, 'eção >H.?.>.F
• 1indo2s ?J), 'eção >H.?.>.N
• 1indo2s ?H+?H'E, 'eção >H.?.>.J
• 1indo2s (E, 'eção >H.?.>.I
• 1indo2s 0: 'erver+1or*'tation, 'eção >H.?.>.O
• 1indo2s 9GGG, 'eção >H.?.>.H
• 6inux, 'eção >H.?.>.?
Em cada seção, também é explicado como habilitar novamente a autenticação usando senhas criptografadas!se suportado pelo cliente".
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 42/73
18.4.1.1 %an 5anager
liente 0et)-%' para ;%'. Ele trabalha somente com senhas em texto plano.
18.4.1.2 0indos 6or 0or7groups
Este é o padrão de autenticação do Windows +o- Wo-2-ou&s caso não tenha feito nenhuma alteraçãoespecífica !mas desconheço algo #ue faça7o trabalhar com senhas criptografadas".
18.4.1.3 0indos 4$ / 0indos 4$
% Windows 95 até a release C8C, utiliza texto plano como padrão para autenticação !ve&a #ual a releaseclicando com o botão direito em <eu 4omputador e 0ropriedades.
18.4.1. 0indos 4$9
opie o seguinte conte=do para um ar#uivo chamado win95texto&*'no.-e <
RE:EITb
=$Eg4LO;AL4MA;INESste(;u--ent;ont-o*SetSe-i%esfxfNETSU#> En')*e#*'inText#'sswo-d6dwo-d???????1
8ps isto, execute no Windows 95 o seguinte comando< -eedit win95texto&*'no.-e e reinicieo computador para fazer efeito.
Aara voltar a utilizar criptografia, apenas altere o valor dwo-d para ???????? no ar#uivo e executanovamente o -eedit.
18.4.1.$ 0indos 48/48+
% procedimento é id4ntico ao 1indo2s ?J), 'eção >H.?.>.N.
18.4.1.& 0indos 5+
% procedimento é id4ntico ao 1indo2s ?J), 'eção >H.?.>.N.
18.4.1.' 0indos N: er"er/0or7tation
opie o seguinte conte=do para um ar#uivo chamado winNTtexto&*'no.-e <
RE:EITb
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 43/73
=$Eg4LO;AL4MA;INESgSTEM;u--ent;ont-o*SetSe-i%esRd-#'-'(ete-s>
En')*e#*'inText#'sswo-d6dwo-d???????1
8ps isto, execute no Windows NT o seguinte comando< -eedit winNTtexto&*'no.-e e reinicieo computador para fazer efeito.
Aara voltar a utilizar criptografia, apenas altere o valor dwo-d para ???????? no ar#uivo e execute
novamente o -eedit.
18.4.1.8 0indos 2;;;
opie o seguinte conte=do para um ar#uivo chamado win???texto&*'no.-e <
RE:EITb
=$Eg4LO;AL4MA;INESgSTEM;u--ent;ont-o*SetSe-i%esL'n('nWo-2St'tion#'-'(ete-s> En')*e#*'inText#'sswo-d6dwo-d???????1
8ps isto, execute no Windows ??? o seguinte comando< -eedit win???texto&*'no.-e ereinicie o computador para fazer efeito.
Aara voltar a utilizar criptografia, apenas altere o valor dwo-d para ???????? no ar#uivo e executenovamente o -eedit.
18.4.1.4 %inu,
-nclua+modifi#ue a linha en%-&t &'sswo-ds 6 no no ar#uivo s().%on+ e reinicie o SAMBA. Aaravoltar a utilizar criptografia, ve&a 8tivando o suporte a senhas criptografadas, 'eção >H.H.
18.19 Map"a$"nto d" u#u;rio#/4rupo# "$ cli"nt"#
% mapeamento de usu$rios do servidor remoto com a m$#uina local é usado #uando voc4 dese&a controlar oacesso aos ar#uivos+diretrios a nível de usu$rio. 0o Windows isto permite #ue cada ar#uivo+diretrio tenhao acesso leitura+gravação somente para os usu$rios definidos e autenticados no controlador de domínio. 0oLinux as permissões de ar#uivos e diretrios podem ser definidas para o usu$rio do A;, garantindo omesmo nível de controle de acesso.
Esta seção explica como configurar o mapeamento de U-;+5-; entre o servidor A; '8()8 e seusclientes 0et)-%' 1indo2s e 6inux.
18.19.1 Map"a$"nto d" u#u;rio#/4rupo# do$ínio "$ indo#
Aara o Windows utilizar os usu$rios remotos do servidor para fazer seu controle de acesso por nível deusu$rio, siga os seguintes passos<
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 44/73
8indo!s 9:
Entre no 0ainel de 4ontrole+ 0ropriedades de 1ede e cli#ue na tab 4ontrole de 7cesso. (ar#ue aopção 4ontrole de acesso a n(vel de usu.rio e colo#ue o nome da m$#uina A; na caixa de di$logode onde os usu$rios+grupos serão obtidos. Moc4 também pode colocar o nome do grupo de trabalho,neste caso a m$#uina far$ uma busca pelo A; ou outra m$#uina de onde pode obter os nomes deusu$rios+grupos.
7BS Aara fazer isto, voc4 dever$ estar autenticado no domínio.
18.19.% Map"a$"nto d" u#u;rio#/4rupo# do$ínio "$ Linux
8 associação de U-;s de usu$rios de um domínio com usu$rios locais no Linux é feita pelo programawin)ind. Ele utiliza o mecanismo nsswit%0 para obter outras fontes de dados de usu$rios e os associa nasferramentas de gerenciamento de contas existentes no sistema. 'iga estes passos para fazer sua instalação econfiguração do Win)ind em um servidor Linux<
• -nstale o programa win)ind< '&tet inst'** win)ind.• (odifi#ue o ar#uivo s().%on+ adicionando as seguintes linhas na seção =*o)'*><
• win)ind se&'-'to- 6 h
• win)ind %'%0e ti(e 6 3?
• win)ind uid 6 1????15???
• win)ind id 6 1????1???
• win)ind enu( use-s 6 es
• win)ind enu( -ou&s 6 es
• te(&*'te 0o(edi- 6 /0o(e/win)ind/C/CU
• te(&*'te s0e** 6 /)in/+'*se
%nde
!inbind se#arator
'eparador usado para separar o nome dos grupos do nome de domínio. Este parPmetro somente temsentido #uando usado em con&unto com um A; 1indo2s ou #uando os mdulos &'(4win)ind.so e nss4win)ind.so estão sendo utilizados.
!inbind cache time
;efine a #uantidade de tempo em segundos #ue um nome+grupo permanecer$ no cache local paranão ser feita uma nova consulta no servidor A;.
!inbind uid
Especifica o intervalo #ue ser$ usado para mapear os nomes de usu$rios remotos como U-;s locais.Moc4 precisar$ ter certeza #ue nenhum U-; nesse intervalo é usado no sistema, como pelo 6;8A,
0-' ou usu$rios normais. Aor padrão, os -;' de usu$rios normais na maioria dos sistemas 6inux,começam por >GGG. 0o exemplo serão usados os U-;s de >GGGG a >JGGG para mapeamento e U-;s
dos usu$rios do domínio para usu$rios locais.
!inbind gid
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 45/73
Especifica o intervalo de 5-;s #ue ser$ usado para mapear os nomes de grupos remotos do domíniocomo 5-;s locais. omo no parPmetro win)ind uid, voc4 dever$ ter certeza #ue esta faixa de5-;s não est$ sendo usada em seu sistema.
7BS 8tualmente SAMBA não possui suporte a grupos globais, apenas para usu$rios globais, destaforma os grupos da m$#uina remota não serão trazidos para o sistema. Uma forma de contornar isto,é utilizando o 6;8A ou o 0-' no A; e nos clientes Linux.
!inbind enum users
Aermite enumerar usu$rios do 2inbind para retornarem dados #uando solicitados. 8 não ser #ue possua uma instalação parecida em todas as m$#uinas !como com o uso de 6;8A e 0-'" respondaC/esC para não ter problemas.
!inbind enum grou#s
Aermite enumerar grupos do 2inbind para retornarem dados #uando solicitados. 8 não ser #ue possua uma instalação parecida em todas as m$#uinas !como com o uso de 6;8A e 0-'" responda
C/esC para não ter problemas.
tem#late homedir
Luando o sistema cliente for um 1indo2s 0: ou baseado, este diretrio ser$ retornado comodiretrio de usu$rio para o sistema. % parPmetro T; ser$ substituído pelo nome do domínio e TU
pelo nome de usu$rio durante a conexão.
tem#late shell
Este ser$ o shell enviado para m$#uinas 0: ou baseadas nele como shell usado para login. % valorusado foi /)in/+'*se pois desabilita os logons, mas voc4 poder$ usar /)in/s0 !ou algum outroshell" para efetuar conexões do comando net ou outras ferramentas 0et)EU- ao servidor.
• Keinicie o servidor SAMBA • Edite o ar#uivo /et%/nsswit%0.%on+ alterando a ordem de pes#uisa de nomes de usu$rios e grupos
do sistema local para a seguinte<
• &'sswd +i*es win)ind
• -ou& +i*es win)ind
• s0'dow %o(&'t
•
8gora, inicie o daemon win)ind local com o comando< /et%/init.d/win)ind -est'-t.
• Entre no domínio com o comando< s()&'sswd do(nio - no(e4do4#; Uusu'-io !ve&a 6inux, 'eção >H.>N.F.? para aprender como entrar no domínio em caso de d=vidas".
• 8gora faça o teste para obter a listagem dos grupos e usu$rios do domínio do A; digitando<
• w)in+o u
• w)in+o
• etent &'sswd
• etent -ou&
aso isto não aconteça, revise suas configurações e ve&a os logs procurando por erros #uando owin)ind tenta obter a lista de usu$rios+grupos do domínio.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 46/73
8gora voc4 deve ser capaz de criar diretrios+ar#uivos locais usando os nomes de usu$rios+grupos dodomínio. 6embre7se de reiniciar sempre o win)ind #uando reiniciar o '8()8 por alguma modificação forfeita !ao mesmo #ue saiba #ue não afeta o win)ind", assim como entrar novamente no domínio, casocontr$rio o mapeamento deixar$ de funcionar.
7BS 8tualmente, o win)ind não oferece suporte a restrições por data+hora de logon para estações detrabalho. -sto dever$ ser implementado em uma futura versão
18.11 Co$partil,a$"nto d" i$pr"##o no #"r3idor SAMBA
Este capítulo documenta como configurar o seu servidor samba para permitir o acesso a compartilhamentode ar#uivos e impressão no sistema.
18.11.1 Con6i4urando o Linux co$o u$ #"r3idor d" i$pr"##o indo#'er$ necess$rio ter o pacote s'()' instalado e adicionar as seguintes linhas no seu ar#uivo/et%/s'()'/s().%on+<
=0&&-inte-> &'t0 6 /t(& &-inte- n'(e6# es2let a9?; &-int')*e 6 es &-int %o(('nd 6 *&- - 0 # C& Cs '*id use-s 6 winuse- winuse- %-e'te (ode 6 ?c??
% compartilhamento acima tornar$ disponível a impressora local ClpC as m$#uinas 1indo2s com o nomeCXA ;es*et I?GC. Uma impressora alternativa pode ser especificada modificando a opção =0 da linha decomando do *&-. 0ote #ue somente os usu$rios C2inuserC e C2inuser9C poderão usar esta impressora. %sar#uivos de spool !para gerenciar a fila de impressão" serão gravador em /t(& !&'t0 6 /t(&" e ocompartilhamento =0&&-inte-> ser$ mostrado como uma impressora !&-int')*e 6 es".
8gora ser$ necess$rio instalar o driver desta impressora no 1indo2s !XA I?G" e escolher impressorainstalada via rede e seguir os demais passos de configuração.
18.1% Control" d" ac"##o ao #"r3idor SAMBA
Este capítulo documenta o controle de acesso ao servidor samba e restrições.
18.1%.1 Ní3"l d" ac"##o d" u#u;rio# con"ctado# ao SAMBA
Luando acessa um compartilhamento, o usu$rio do samba é mapeado com o U-; respectivo de usu$rio do
sistema ou o usu$rio guest !especificado pela opção Cguest accountC" no caso de um acesso p=blico. Luandoisto ocorre, um processo filho do s()d é executado sobre o U-; e 5-; deste usu$rio. -sto significa #ue emnenhuma ocasião o SAMBA dar$ mais permissões #ue as necess$rias para o usu$rio !com excessão de #uandoé usado o parPmetro 'd(in use-s, ve&a riando uma conta de administrador de domínio, 'eção >H.O.I".
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 47/73
18.1%.% "#trin4indo o ac"##o por IE/r"d"
Esta restrição pode ser feita pelos parPmetros allo$ hosts e deny hosts tanto em serviços individuais ou emtodo o servidor. %s parPmetros hosts allo$ e hosts deny são e#uivalentes a estes acima. % allo$ hosts
permite o acesso a m$#uina especificadas como argumento. 'ão permitidos os seguintes métodos para
permitir o acesso a uma m$#uina+rede<• 19.1a!.1.1 7 -A da m$#uina• se-ido- 7 0ome da m$#uina
• 19.1a!.1.?/55.55.55.? 7 -A com m$scara de rede
• 19.1a!.1.?/b 7 -A com m$scara de rede octal
• 19.1a!.1. 7 Aorção de rede sem o host !como no 0osts.'**ow e 0osts.den.
• `no(e 7 Aes#uisa por m$#uinas no grupo 0-'.
permitido usar mais de um endereço -A separando7os por vírgulas ou espaços. 8 palavra chave 2>420% pode ser usada para fazer excessão de um ou mais endereços -As, por exemplo<
0osts '**ow 6 19.1a!.1. E";E#T 19.1a!.1.?
Lue permite o acesso a toda as m$#uinas da faixa de rede 19.1a!.1.?/b exceto para a19.1a!.1.?.
% deny hosts possui a mesma sintaxe do allo$ hosts mas blo#ueia o acesso das m$#uinas especificadascomo argumento. Luando o allo$ hosts e deny hosts são usados &untos, as m$#uinas em allo$ hosts terão prioridade !processa primeiro as diretivas em allo$ hosts e depois em deny hosts".
7BS % endereço de loopbac* !>9O.G.G.>" nunca é blo#ueado pelas diretivas de acesso. Arovavelmente deveter notado por#ue o endereço de loopbac* não pode ser blo#ueado e as conse#^4ncias disto para o '8()8.
'e voc4 est$ executando o '8()8 via inetd , os ar#uivos 0osts.'**ow e 0osts.den são verificados antesdo controle e acesso allo$ hosts e deny hosts para controle de acesso ao s()d. aso estiver usando o'8()8 viainetd e dese&a restringir o acesso usando :A 1rappers, ve&a % mecanismo de controle deacessos tcpd, 'eção N.H.F.
7BS 6embre7se de usar o test&'-( para verificar a sintaxe do ar#uivo s().%on+ sempre #ue desconfiar de problemas !ve&a )uscando problemas na configuração, 'eção >H.9.>>".
18.12.2.1 :estando a restriç#o de cesso por </Redes
Um método interessante e =til para testar se a nossa configuração vai blo#uear o acesso a serviços é usandoo test&'-( da seguinte forma<
test&'-( /et%/s'()'/s().%on+ I#/0ost
Moc4 precisar$ dizer para o test&'-( #ual é o ar#uivo de configuração #ue est$ usando e o endereço-A+nome de host #ue far$ a si(u*'78o de acesso. Este método não falsifica o endereço -A para testes,
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 48/73
apenas usa os valores em allo$ hosts e deny hosts para checagem. Aor exemplo, para verificar o acessovindo do -A 19.1a!.1.5?<
test&'-( /et%/s'()'/s().%on+ 19.1a!.1.5? Lo'd s() %on+i +i*es +-o( /et%/s'()'/s().%on+ #-o%essin se%tion =0o(es> #-o%essin se%tion =&-inte-s> #-o%essin se%tion =t(&> #-o%essin se%tion =%d-o(>
Lo'ded se-i%es +i*e O$. A**ow %onne%tion +-o( /et%/s'()'/s().%on+ ^+o%'*inux_ to 0o(es A**ow %onne%tion +-o( /et%/s'()'/s().%on+ ^+o%'*inux_ to &-inte-s A**ow %onne%tion +-o( /et%/s'()'/s().%on+ ^+o%'*inux_ to t(& A**ow %onne%tion +-o( /et%/s'()'/s().%on+ ^+o%'*inux_ to %d-o(
18.1%.( "#trin4indo o ac"##o por int"r6ac" d" r"d"
Esta restrição de acesso permite #ue façamos o '8()8 responder re#uisições somente para a interfacesindicadas. % método de segurança descrito em Kestringindo o acesso por -A+rede, 'eção >H.>9.9 serão
analisadas logo aps esta checagem.
Aara restringir o serviço '8()8 a interfaces, primeiro ser$ necess$rio ativar o parPmetro )indinte-+'%es on* usando 1, es ou t-ue !o padrão é desativado". ;epois, definir #ue interfaces serãoservidas pelo samba com o parPmetro interfaces. %s seguintes formatos de interfaces são permitidos<
• et0?, s*?, &*i&?, et% 7 Um nome de interface local. permitido o uso de \ para fazer o'8()8 monitorar todas as interfaces #ue iniciam com a#uele nome !por exemplo, et0\".
• 19.1a!.1.1, 19.1a!.1., et% 7 Um endereço -A de interface local.
•
19.1a!.1./b, 19.1a!.1./55.55.55.? 7 Um par de endereço+m$scara de rede.
(ais de uma interface pode ser usada separando7as com vírgula ou espaços. 8 escolha do uso de nome dainterface ou do -A é feita de acordo com a configuração da m$#uina. Em uma m$#uina ;XA por exemplo,é recomendado o uso do nome da interface. Luando bind interfaces only estiver ativado, o padrão é esperarconexões em todas as interfaces #ue permitem broadcast exceto a loopbac*.
Exemplo<
)ind inte-+'%es on* 6 1 inte-+'%es 6 *oo&)'%2 et0?
Aermite o recebimento de re#uisições de acesso ao SAMBA somente da interface *oo&)'%2 !desnecess$rio, pois como notou durante a leitura, sempre é permitida a conexão" e et0?.
18.1%.* "#trin4indo o ac"##o por u#u;rio#
Aermite #ue voc4 controle #uem poder$ ou não acessar o compartilhamento da m$#uina. Este controle éfeito pelos parPmetros valid users e invalid users.
% invalid users lista de usu$rio #ue N7 terão acesso ao compartilhamento. 'e o nome for iniciado por C`Co parPmetro ser$ tratado como um nome de grupo U0-3 !/et%/-ou&". % caracter CC faz ele pes#uisar onome de grupo no banco de dados 0-'. % caracter CBC permite fazer a busca do grupo primeiro no banco dedados 0-' e caso ele não se&a encontrado, no ar#uivo de grupos do sistema !/et%/-ou&".
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 49/73
possível usar a combinação de caracteres C`C e C`C para alternar a ordem de busca enter o /et%/-ou&
e o N3S .
Exemplos<
invalid users )unior; marcio; <badusers
0ão permite #ue os usu$rios especificados e os usu$rios do grupoh)'duse-s
tenham acesso aocompartilhamento.
invalid users =>semacesso
)lo#ueia o acesso de todos os usu$rios 0-' #ue pertençam ao grupo se('%esso.
invalid users bruno; henrique; <?users;
)lo#ueia o acesso dos usu$rios bruno, henri#ue e de todos os usu$rios #ue pertençam ao grupouse-s. 8 pes#uisa de grupo é feita primeiro no /et%/-ou& e em seguida no 0-'.
invalid users ?semacesso
)lo#ueia o acesso dos usu$rios #ue pertencem ao grupo CsemacessoC. 8 pes#uisa é feita primeiro no 0-' e depois no /et%/-ou& !e#uivalente ao uso de C`C".
% valid users possui a mesma sintaxe de funcionamento do in'*id use-s, mas permite somente oacesso para os usu$rios+grupos listados. aso a opção '*id use-s não se&a especificada ou a lista este&avazia, o acesso é permitido. 'e um mesmo nome de usu$rio estiver na lista '*id use-s e in'*iduse-s, o padrão é ser mais restritivo, negando o acesso.
'*id use-s 6 *edson, (i%0e**e, eo
8 segurança deste método de acesso depende muito da forma de autenticação dos nomes antes de passar ocontrole para o '8()8, pois uma autenticação fraca põe em risco a segurança da sua m$#uina.
18.1%.+ ?3it" o u#o do par$"tro hosts equivH
Este parPmetro permite #ue m$#uinas tenham acesso sem senha a um servidor. -sto pode se tornar um
[E0%K(E[ buraco na segurança do seu sistema, pois mesmo usando uma senha inv$lida, a m$#uina poder$ ter acesso a todos os recursos do compartilhamento e não é complicado fazer um ata#ue usando ;0'spoofing.
'e realmente dese&a fazer isto, tenha em mente os dados #ue poderão ser acessados da#uela m$#uina, serealmente não existe nenhuma outra forma de disponibilizar o acesso de forma #ue mantenha o controle derestrições !usando todos os outros métodos", restrin&a o acesso usando (8 8ddress com o i&t')*es ou o'-& !ve&a Kestrições por (8 8ddress+-A, 'eção >?.O". % padrão é não usar nenhum ar#uivo 0osts.eui.
18.1%. ?3it" o u#o d" #"n,a# "$ )rancoH
% parPmetro nu** &'sswo-ds é usado na seção !global" permitindo #ue contas de usu$rios sem senhatenham acesso permitido ao servidor. IS7 7ALM?N? INS?GU7 e deve ser sempre evitado.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 50/73
aso voc4 tenha feito uma bela restrição em sua m$#uina e dese&a #ue o seu shell script de cpia de ar#uivosfuncione usando este método, voc4 est$ &ogando toda a segurança do seu sistema por ralo abaixo.
0ão existe motivo para usar senhas em branco em um controle de acesso por usu$rio, a não ser #ue precisetestar algo realmente tempor$rio e #ue depurando algo no '8()8.
18.1%.2 Criando u$ co$partil,a$"nto para ac"##o #"$ #"n,a
Em algumas situações !mesmo em instalações seguras" é preciso tornar um compartilhamento acessível publicamente, exemplos disto incluem um diretrio #ue contém drivers de impressoras, ar#uivos comuns,um diretrio tempor$rio, etc.
Aara configurar um acesso p=blico utilizamos a opção &u)*i% 6 es ou uest o2 6 es !#ue é umsinWnimo para o =ltimo comando". % U-; utilizado no acesso p=blico é especificado pelo parPmetro uest'%%ount, portanto ele dever$ ser um usu$rio v$lido do sistema. aso voc4 #ueira somente definir acessoguest a um compartilhamento, especifi#ue a opção uest on* para o serviço, desta forma, mesmo #ue o
usu$rio tenha acesso, ele ser$ mapeado para o usu$rio guest.
Uma boa medida de segurança é usar o usu$rio no)od pois a maioria das distribuições de Linux segurasadotam7o como padrão como usu$rio #ue não é dono de #uais#uer ar#uivos+diretrios no sistema, não possuilogin, senha ou se#uer um diretrio home.
Me&a um exemplo disponibilizando o compartilhamento =down*o'd> para acesso p=blico com acesso agravação<
=*o)'*>uest '%%ount 6 no)od
.. ..
=down*o'd> &'t0 6 /down*o'ds %o((ent 6 Es&'7o &)*i%o &'-' ')-i'- down*o'ds de UsuD-ios uest o2 6 es ^'ui &ode-D se- t'()G( &u)*i% 6 es_. w-it')*e 6 es +o**ow s(*in2s 6 +'*se
% parPmetro uest '%%ount também poder$ ser especificado no compartilhamento, isto é =til #uandonão #uiser #ue o usu$rio #ue acesse o compartilhamento não se&a o mesmo usado na diretiva QglobalR.
aso seu servidor somente disponibiliza compartilhamentos para acesso p=blico, é mais recomendadoutilizar o nível se%u-it 6 s0'-e pra diminuir a carga m$#uina, pois o usu$rio guest ser$ o primeiro aser checado pelas regras de acesso !ao contr$rio do nível user , onde o acesso guest é o =ltimo checado".
7BS 6embre7se #ue o compartilhamento funciona de modo recursivo, ou se&a, todos os ar#uivos esubdiretrios dentro do diretrio #ue compartilhou serão disponibilizados, portanto tenha certeza daimportPncia dos dados #ue existem no diretrio, verifi#ue se existem lin*s simblicos #ue apontam para ele,etc. Kecomendo dar uma olhada r$pida em onsiderações de segurança com o uso do parPmetro Cpublic D/esC, 'eção >H.>9.>N.
18.1%.8 Criando u$ co$partil,a$"nto co$ ac"##o #o$"nt" l"itura
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 51/73
Esta proteção é =til #uando não dese&amos #ue pessoas alterem o conte=do de um compartilhamento. -sto pode ser feito de duas formas< negando o acesso de gravação para todo o compartilhamento ou permitindoleitura somente para algumas pessoas. % parPmetro usado para fazer a restrição de acesso somente leitura é o-e'd on* 6 es ou seu antWnimo w-it')*e 6 no. 8baixo seguem os dois exemplos comentados<
=teste> %o((ent 6 A%esso ' *eitu-' &'-' todos &'t0 6 /t(&
-e'd on* 6 es &u)*i% 6 es
0o exemplo acima, o diretrio /t(& ! path 9tmp" foi compartilhado com o nome teste !!teste"", de forma p=blica !acesso sem senha 7 public yes", e todos podem apenas ler seu conte=do read only yes".
=teste> %o((ent 6 A%esso ' -''78o &'-' todos %o( ex%essVes &'t0 6 /t(& -e'd on* 6 no -e'd *ist 6 `use-s, *edson in'*id use-s 6 -oot
0este, o mesmo compartilhamento teste !!teste"" foi definido como acesso leitura+gravação para todos!read only no", mas os usu$rios do grupo ?users e o usu$rio gleydson terão sempre acesso leitura !read
list ?users@ gleydson". 8dicionalmente foi colocada uma proteção para #ue o superusu$rio não tenhaacesso a ele !invalid users root ". Esta forma de restrição é explicada melhor em Excessão de acesso na
permissão padrão de compartilhamento, 'eção >H.>9.>G".
18.1%.5 Criando u$ co$partil,a$"nto co$ ac"##o l"itura/4ra3aço
Esta forma de compartilhamento permite a alteração do conte=do do compartilhamento dos usu$rios #ue possuem as permissões de acesso apropriadas. Este controle pode ser feito de duas formas< 8cesso total degravação para os usu$rios e acesso de gravação apenas para determinados usu$rios. Este controle é feito pelaopção -e'd on* 6 no e seu antWnimo e#uivalente w-it')*e 6 es. 8baixo dois exemplos<
=teste> %o((ent 6 A%esso de -''78o &'-' todos. &'t0 6 /t(& w-it')*e 6 es &u)*i% 6 es
0o exemplo acima, o diretrio /t(& !path D +tmp" foi compartilhado com o nome teste !QtesteR", de forma p=blica !acesso sem senha 7 public D /es" e todos podem ler+gravar dentro dele !2ritable D /es".
=teste> %o((ent 6 A%esso ' *eitu-' &'-' todos %o( ex%essVes &'t0 6 /t(& w-it')*e 6 no w-ite *ist 6 `use-s, *edson
0este, o mesmo compartilhamento teste !!teste"" foi definido como acesso de leitura para todos !$ritable
no", mas os usu$rios do grupo ?users e o usu$rio gleydson serão os =nicos #ue terão também acesso agravação !$rite list ?users@ gleydson". Esta forma de restrição é explicada melhor em Excessão de acessona permissão padrão de compartilhamento, 'eção >H.>9.>G".
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 52/73
18.1%.19 ?xc"##o d" ac"##o na p"r$i##o padro d" co$partil,a$"nto
possível alterar o nível de acesso para determinados usu$rios+grupos em um compartilhamento, paraentender melhor< aso tenha criado um compartilhamento somente leitura e #ueira permitir #ue apenasalguns usu$rios ou grupos tenham acesso a gravação, isto é possível e ser$ explicado nesta seção. Estecomportamento é controlado por duas opções< -e'd *ist e w-ite *ist. Me&a alguns exemplos<
=te(&o-'-io>%o((ent 6 i-etK-io te(&o-D-io
&'t0 6 /t(& w-it')*e 6 es -e'd *ist 6 *edson, -oot )-owse')*e 6 no ''i*')*e 6 es
0este exemplo, disponibilizamos o diretrio /t(& ! path 9tmp" como compartilhamento de nomete(&o-'-io !!temporario"", seu acesso padrão é leitura+gravação para todos !$ritable yes", exceto paraos usu$rios -oot e *edson !read list root@ gleydson". Em adição, tornamos o compartilhamentoinvis(vel !ve&a riando um compartilhamento invisível, 'eção >H.>9.>9" no C8mbiente de KedeC do
1indo2s !bro$seable no" e ele ser$ lido e disponibilizado pelo '8()8 !available yes".=te(&o-'-io>%o((ent 6 i-etK-io te(&o-D-io
&'t0 6 /t(& w-it')*e 6 no w-ite *ist 6 *edson, `o&e-'do-es )-owse')*e 6 es
0este exemplo, disponibilizamos o diretrio /t(& ! path 9tmp" como compartilhamento de nomete(&o-'-io !!temporario"", seu acesso padrão é apenas leitura para todos !$ritable no", exceto para ousu$rio *edson e usu$rios do grupo Unix o&e-'do-es, #ue tem acesso a leitura+gravação !$rite list
gleydson@ ?operadores". :ornamos o compartilhamento vis(vel no C8mbiente de KedeC do 1indo2s!bro$seable yes 7 #ue é o padrão".
18.1%.11 "#trin4indo o IECJ " A>MINJ
seguro restringir os serviços I#;< e AMIN< para acesso somente pelas faixas de rede de confiança. -sto pode ser feito através da mesma forma #ue a restrição em outros compartilhamentos. %s efeitos destarestrição serão #ue somente as redes autorizadas possam obter a lista de m$#uinas, se autenticar no domínio
e realizar tarefas administrativas gerais<=I#;<>
-e'd on* 6 es '**ow +-o( 19.1a!.1.?/b
=AMIN<> -e'd on* 6 es '**ow +-o( 19.1a!.1.?/b
% exemplo acima permite #ue os serviços I#;< e AMIN< se&am acessados de #ual#uer m$#uina na faixade rede 19.1a!.1.?/b. Aara forçar a autenticação para acesso a estes serviços<
=I#;<> in'*id use-s 6 no)od '*id use-s 6 *edson (i%0e**e -e'd on* 6 es '**ow +-o( 19.1a!.1.?/b
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 53/73
=AMIN<>
in'*id use-s 6 no)od '*id use-s 6 *edson (i%0e**e -e'd on* 6 es '**ow +-o( 19.1a!.1.?/b
%s exemplos acima são similares ao de antes, mas o acesso a listagem dos compartilhamentos é restringida!invalid users nobody", pois o usu$rio nobody !usado para mostrar o compartilhamento" tem o acessonegado. 'omente os usu$rios *edson e (i%0e**e !valid users gleydson michelle" podem listar seuconte=do.
7BS (esmo #ue este&am restritos, os serviços I#;< e AMIN< sempre poderão ser acessados de>9O.G.G.>, ou teríamos problemas com o funcionamento do '8()8. 8ssim não é necess$rio colocar>9O.G.G.> na lista de -As autorizados.
18.1%.1% Criando u$ co$partil,a$"nto in3i#í3"l
Aara não exibir um compartilhamento da lista de compartilhamentos das m$#uinas, utilize o parPmetro)-owse')*e 6 no. Aor exemplo<
=teste> &'t0 6 /t(& %o((ent 6 i-etK-io te(&o-D-io -e'd on* 6 es )-owse')*e 6 no
0este exemplo, o diretrio /t(& ! path 9tmp" foi compartilhado através de teste !!teste"" com acessosomente leitura !read only yes" e ele não ser$ mostrado na listagem de compartilhamentos do ambiente derede do 1indo2s !bro$seable no".
0ote #ue o compartilhamento continua disponível, porém ele poder$ ser acessado da estação 1indo2s,especificando a ma#uinacompartilhamento. Aara acessar o compartilhamento do exemplo acima<
@ ;*iue e( Ini%i'-/Exe%ut'- e diite no(e4do4se-ido-4s'()'teste
8o contr$rio das m$#uinas Windows onde é necess$rio adicionar um CC do nome de compartilhamento paracriar um compartilhamento oculto !como teste<" o '8()8 cria um compartilhamento r"al$"nt" oculto,não aparecendo mesmo na listagem do s()%*ient.
18.1%.1( ?x"cutando co$ando# ant"# " ap'# o ac"##o ao co$partil,a$"nto
Este recurso oferece uma infinidade de soluções #ue podem resolver desde problemas de praticidade atésegurança usando as opções &-eexe% e &ostexe%. Aor exemplo, imagine #ue este&a compartilhando Nunidades de ;7Kom de um servidor na rede, e dese&e #ue estes ;s este&am sempre disponíveis mesmo#ue algum operador engraçadinho tenha e&etado as gavetas de propsito, podemos fazer a seguinteconfiguração<
=%d-o(> &'t0 6 /%d-o( %o((ent 6 Unid'de de ;ROM 1 -e'd on* 6 es
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 54/73
&-eexe% 6 /)in/(ount /%d-o( &-eexe% %*ose 6 es &ostexe% 6 /)in/u(ount /%d-o(
0a configuração acima, o ;7K%( ser$ compartilhado como %d-o( !!cdrom"", somente leitura !red only
yes", #uando o usu$rio acessar o compartilhamento ele Cfechar$C a gaveta do ; ! preexec 9bin9mount
9cdrom" e desmontar$ o drive de ; assim #ue o compartilhamento for fechado ! postexec 9bin9umount
9cdrom". 8dicionalmente, caso o comando (ount da opção &-eexe% tenha retornado um valor diferente de
G, a conexão do compartilhamento é fechada ! preexec close yes".
8 U-; do processo do &-eexe% e &ostexe% ser$ o mesmo do usu$rio #ue est$ acessando ocompartilhamento, por este motivo ele dever$ ter permissões para montar+desmontar o ;7K%( no sistema.aso precise executar comandos como usu$rio -oot, utilize a variante -oot &-eexe% e -oot&ostexe%. 8penas tenha consci4ncia #ue os programas sendo executados são seguros o bastante para nãocomprometer o seu sistema.
Usando a mesma técnica, é possível #ue o sistema lhe envie e7mails alertando sobre acesso acompartilhamentos #ue em con&unto com um debug level 9 e logs configurados independentes por m$#uina,voc4 possa ver o #ue a m$#uina tentou acessar !e foi negado" e o #ue ela conseguiu acesso.
omo bom administrador, voc4 poder$ criar scripts #ue façam uma checagem de segurança nocompartilhamento e encerre automaticamente a conexão caso se&a necess$rio, montar um Chonne/ potC paratro&ans, etc.
omo deve estar notando, as possibilidades do '8()8 se extendem além do simples compartilhamento dear#uivos, se integrando com o potencial dos recursos do sistema U0-3.
18.1%.1* Con#id"raç:"# d" #"4urança co$ o u#o do par$"tro Kpu)lic "#K
Este parPmetro permite #ue voc4 acesso um compartilhamento sem fornecer uma senha, ou se&a, #ue ousu$rio não este&a autenticado. 0S% utilize o parPmetro Cpublic D /esC !ou um de seus sinWnimos" nocompartilhamento =0o(es>, pois abrir$ brechas para #ue possa acessar o diretrio home de #ual#uerusu$rio e com acesso a gravação !#ue é o padrão adotado pelos administradores para permitir o acesso aoseu diretrio home remoto".
Kecomendo utilizar o parPmetro &u)*i% 6 es somente em compartilhamentos onde é realmentenecess$rio, como o QnetlogonR ou outras $reas de acesso p=blico onde as permissões do sistema de ar#uivoslocal este&am devidamente restritas. %utra medida é não utilizar a opção +o**ow s(*in2s, #ue poder$lhe causar problemas com usu$rios mal intencionados #ue tenham acesso shell.
7BS :enha em mente todas as considerações de segurança abordadas neste capítulo, bem como as permissões de acesso ao sistema Unix e como elas funcionam. 8 disponibilidade de ar#uivos em uma rede ésimples, simples também pode ser o acesso indevido a eles caso não saiba o #ue est$ fazendo.
18.1%.1+ S"n,a# cripto4ra6ada# ou "$ t"xto puro
omo regra geral, prefira sempre utilizar senhas criptografadas. 8#ui alguns motivos<
• 8 senha é enviada de uma forma #ue dificulta sua captura por pessoas maliciosas.• % 0: não permite #ue voc4 navegue no ambiente de rede em um sistema '8()8 com nível de
acesso por usu$rio autenticando usando senhas em texto plano.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 55/73
• 'er$ solicitada sempre a senha para reconexão em cada compartilhamento da m$#uina.
• :odas as versões de 1indo2s 0: N a partir 'AF e 1indo2s ?J %'K+9 utilizam senhas criptografadascomo padrão. possível faze7lo utilizar senhas em texto plano modificando chaves no registro dasm$#uinas clientes !ve&a 8tivando o suporte a senhas em texto plano, 'eção >H.? para detalhes".
8s vantagens da utilização da autenticação usando texto plano<
• 8 senha utilizada ser$ a mesma do /et%/&'sswd !servindo para ftp, login, etc"• % servidor A; pode ser usado para logon desde #ue os clientes este&am usando senhas em texto
plano.
• Elas não são armazenadas no disco da estação cliente.
• Moc4 não ser$ perguntado por uma senha durante cada reconexão de recurso.
8ntes de optar por utilizar um sistema de senhas em texto plano, leve em consideração estes pontos. 'e voc4 &$ utiliza telnet ou ftp, provavelmente a utilização de autenticação usando texto plano no '8()8 não trar$
problemas mais graves para voc4.
7BS< aso seu 0: ou versão derivada não navegue no ambiente de rede !s aceitando conexõesespecificando diretamente o CservidorcompartilhamentoC" modifi#ue sua configuração do '8()8 paraautenticar usando senhas criptografadas !ve&a 8tivando o suporte a senhas criptografadas, 'eção >H.H" paradetalhes de como fazer isto.
18.1%.1 Map"a$"nto d" no$"# d" u#u;rio#
Este recurso faz a mapeamento !tradução" de nomes de usu$rios usados no momento do acesso para contasde acesso locais, bastante =til #uando o nome de usu$rio enviado pela m$#uina não confere com
0E0XU(8 conta local do sistema !um exemplo é #uando o login do usu$rio no Windows é diferente de seu6ogin no Linux". %utro vantagem de seu uso é permitir #ue uma categoria de usu$rios utilizem um mesmonível de acesso no sistema.
'eu formato é o seguinte< use-n'(e ('& 6 '-uio.
8s seguintes regras são usadas para construir o ar#uivo de mapeamento de nomes<
•
Um ar#uivo de m=ltiplas linhas onde o sinal de CDC separa os dois parPmetros principais. % ar#uivo é processado linha por linha da forma tradicional, a diferença é o #ue o processamento do ar#uivocontinua mesmo #ue uma condição confira. Aara #ue o processamento do resto do ar#uivo se&ainterrompido #uando um mapeamento confira, colo#ue o sinal CC na frente do nome local.
• % parPmetro da es#uerda é a conta Unix local #ue ser$ usada para fazer acesso ao compartilhamento.'omente uma conta Unix poder$ ser utilizada.
• % parPmetro da direita do sinal de CDC pode conter um ou mais nomes de usu$rios separados porespaços #ue serão mapeados para a conta Unix local.
% parPmetro CBgrupoC permite #ue usu$rios pertencentes ao grupo Unix local se&am mapeados para
a conta de usu$rio do lado es#uerdo. %utro caracter especial é o C[C e indica #ue #ual#uer usu$rioser$ mapeado.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 56/73
Moc4 pode utilizar coment$rios na mesma forma #ue no ar#uivo de configuração s().%on+. 8lgunsexemplos<
@ M'&ei' o usuD-io *edson (']io*i %o( o usuD-io *o%'* *edson *edson 6 *edson (']io*i
@ M'&ei' o usuD-io -oot e 'd( &'-' o usuD-io no)od no)od 6 -oot 'd(
@ M'&ei' u'*ue- no(e de usuD-io ue &e-ten7' 'o -u&o s()use-s &'-' o usuD-io @ s'()'.
s'()' 6 `s()use-s
@ Uti*i]' todos os exe(&*os 'nte-io-es, se nen0u( usuD-io %on+e-i-, e*e se-D@ ('&e'do &'-' o usuD-io no)od ^%o(o o usuD-io -oot e 'd( D s8o ('&e'dos
@ &'-' no)od, este exe(&*o te-D o (es(o e+eito_. m*edson 6 *edson (']io*i ms'()' 6 `s()use-s no)od 6 \
18.1( M"l,orando a p"r6or$anc" do co$partil,a$"nto/#"r3idorEsta seção trar$ algumas formas de otimização do servidor '8()8 #ue fazem diferença #uando os valoresade#uados são utilizados< 8 primeira é a ativação de um cache de gravação+leitura de ar#uivos. Este cache éfeito pela opção w-ite %'%0e si]e e funciona fazendo o cache dos ar#uivos #ue serão lidos+gravados.Ele é esvaziado assim #ue o ar#uivo for fechado ou #uando estiver cheio. % valor especificado nesta opção éem b/tes e o padrão é CGC para não causar impacto em sistemas com pouca memria !ou centenas decompartilhamentos". Exemplo<
=&u)*i%o> &'t0 6 /&u) %o((ent 6 i-etK-io de '%esso &)*i%o -e'd on* 6 es &u)*i% 6 es w-ite %'%0e si]e 6 3!b???
ompartilha o diretrio /&u) ! path 9pub" como compartilhamento de nome &u)*i%o !!publico"", seuacesso ser$ feito como somente leitura !read only yes" e o tamanho do cache de leitura+gravação reservadode FHNYb !$rite cache siAe CD---".
;eixar a opção para seguir lin*s simblicos ativada !+o**ow s(*in2s" garante mais performance deacesso a ar#uivos no compartilhamento. 8 desativação da opção wide *in2s em con&unto com o uso de
cache nas chamadas get2d !etwd %'%0e" permite aumentar a segurança e tem um impacto perceptívelna performance dos dados.
8 desativação da opção global nt smb support também melhora a performance de acesso doscompartilhamentos. Esta é uma opção =til para detectar problemas de negociação de protocolo e por padrão,ela é ativada.
aso utiliza um valor de depuração de log muito alto !debug level ", o sistema ficar$ mais lento pois oservidor sincroniza o ar#uivo aps cada operação. Em uso excessivo do servidor de ar#uivos, isso apresentauma degradação perceptível de performance.
8 opção &-edi%tion permite #ue o '8()8 faça uma leitura adiante no ar#uivo abertos como somente7leitura en#uanto aguarda por prximos comandos. Esta opção associada com bons valores de $rite cache
siAe pode fazer alguma diferença. 0ote #ue o valor de leitura nunca ultrapassa o valor de Cread sizeC.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 57/73
8 opção read siAe permite obter um sincronismo fino entre a leitura e gravação do disco com oenvio+recebimento de dados da rede. % valor é dependente da instalação local, levando em consideração avelocidade de disco rígido, rede, etc. % valor padrão é >IFHN.
Em casos onde um 0' montado ou até mesmo leitura em discos locais é compartilhada, o parPmetro strict
loc&ing definido para es pode fazer alguma diferença de performance. 0ote #ue nem todos os sistemasganham performance com o uso desta opção e não deve ser usada em aplicativos #ue não re#uisitam oestado do loc* de ar#uivo ao servidor.
aso voc4 possua aplicativos #ue fazem o loc* corretamente de ar#uivos, voc4 poder$ usar o share modes
no, isto significa #ue futuras aberturas de ar#uivo podem ser feitas em em modo leitura+gravação. asoutiliza um aplicativo muito bem programado #ue implementa de forma eficiente de loc*, voc4 poder$desativar esta opção.
% uso de oploc&s yes em compartilhamentos aumenta a performance de acesso a ar#uivos em até FGT, poisutiliza um cdigo de cache no cliente. :enha certeza do #ue est$ fazendo antes de sair usando oploc&s emtudo #ue é lugar. 8 desativação de &ernel oploc&s é necess$ria para #ue isto funcione.
8 opção read ra$ e $rite ra$ devem ter seus valores experimentados para ver se faz diferença na performance da sua rede, pois é diretamente dependente do tipo de cliente #ue sua rede possui. 8lgunsclientes podem ficar mais lentos em modo de leitura ra2.
% tipo de sistema de ar#uivos adotado na m$#uina e suas opções de montagem tem um impacto direto na performance do servidor, principalmente com relação a atualização de status dos ar#uivos no sistema dear#uivos !hora de acesso, data, etc".
% cache de leitura adiante de abertura de ar#uivos em modo somente leitura aumenta a performance com ouso do oploc*s nível 9. Aara isto, a&uste a opção *ee* o&*o%2s para es. 8 recomendação deste tipode oploc* é o mesmo do nível >.
omo o '8()8 faz o transporte 0et)EU- via :A+-A, a&ustes no soc*et fazem diferença nos dados #uetrafegam na rede. omo isso é dependente de rede voc4 precisar$ usar técnicas de leitura+gravação paradeterminar #uais são as melhores #ue se encaixam em seu caso. 8 opção soc&et options é usada para fazertais a&ustes, por exemplo<
so%2et o&tions 6 SO4SNBU6?b! I#TOS4TROU:#UT61
Em especial, a opção T;#4NOELAg apresenta uma perceptível melhoria de performance no acesso aar#uivos locais.
7BS< 0ão use espaços entre o sinal de CDC #uando especificar as opções do parPmetro so%2eto&tions.
18.1* Con6i4uraço d" Cli"nt"# N"tB?UI
Este capítulo documenta a configuração de m$#uinas clientes 0et)EU-, re#uerimentos de cada configuraçãoe documenta os passos necess$rios para ter o cliente se comunicando perfeitamente com o seu servidor.'erão explicadas tanto a configuração de grupo de trabalho como de dom(nio e como a configuração é
compatível entre Linux e Windows, estas explicações são perfeitamente v$lidas para configurar clientes #ueacessem servidores Windows.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 58/73
18.1*.1 Con#id"raç:"# #o)r" o indo# 6or orO4roup# " LanMana4"r
'istemas com implementações 0et)-%' mais antigos, como o Windows +o- Wo-2-ou&s !1indo2s F.>>" eo L'n M'n'e- !;%'", enviam somente a senha para acesso ao compartilhamento, desta forma, para oacesso ser autorizado pelo s'()', voc4 dever$ especificar a diretiva user usuario para #ue a senha confiracom o usu$rio local do sistema. 8 senha enviada também é em formato texto plano. Este problema nãoocorre no 1indo2s ?J e superiores, #ue enviam o nome de usu$rio #ue efetuou o logon &unto com a
respectiva senha.'e a segurança do seu samba depende de senhas criptografadas, ser$ necess$rio utilizar a diretivain%*ude 6 out-o4'-uio4de4%on+iu-'78o.C( para definir configurações específicas deacesso para estas m$#uinas.
%utro detalhe #ue deve ser lembrado é #ue o Windows +o- Wo-2-ou&s envia sempre a senha em(8-'U68', então é preciso configurar o '8()8 para tentar combinações de mai=sculas+min=sculasusando o parPmetro mangle case e default case na seção global do s().%on+.
18.1*.% Con6i4urando cli"nt"# "$ Grupo d" ra)al,o
Aara configurar o cliente para fazer parte de um grupo de trabalho, é necess$rio apenas #ue tenha em mãos ono(e do -u&o de t-')'*0o !2or*group" #ue os clientes farão parte e o nome de uma outram$#uina #ue faz parte do mesmo grupo !para testes iniciais". om estes dados em mãos, selecione na listaabaixo o nome do cliente #ue dese&a configurar para incluir no grupo de trabalho<
• 1indo2s ?3, 'eção >H.>N.9.> • 1indo2s 3A Xome Edition, 'eção >H.>N.9.9
• 1indo2s 3A Arofessional Edition, 'eção >H.>N.9.F
• 1indo2s 3A 'erver Edition, 'eção >H.>N.9.N
• 1indo2s 0: 1or*'tation, 'eção >H.>N.9.J
• 1indo2s 0: 'erver, 'eção >H.>N.9.I
• 1indo2s 9GGG Arofessional, 'eção >H.>N.9.O
• 1indo2s 9GGG 'erver, 'eção >H.>N.9.H
• 6inux, 'eção >H.>N.9.?
18.1.2.1 0indos 4
Estas configurações são v$lidas para clientes 1indo2s ?J, 1indo2s ?J%'K+9, 1indo2s ?H. aso utilize oWindows 95 !#ual#uer uma das séries" é aconselh$vel atualizar a stac* :A+-A e 0et)EU- para corrigir
alguns problemas #ue podem deixar sua m$#uina vulner$vel na versão #ue acompanha o 1in'oc* do1indo2s ?J.
Aara tornar uma m$#uina parte do grupo de trabalho, siga os seguintes passos<
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 59/73
• Entre nas propriedades de rede no Aainel de ontrole• -nstale o liente para redes (icrosoft !caso não este&a instalado".
• -nstale o Arotocolo :A+-A. Moc4 também pode instalar o protocolo 0et)-%', mas utilizaremos osuporte 0et)-%' sobre :A+-A #ue é o usado pelo SAMBA além de ter um melhor desempenho,
permitir integração com servidores 1-0', etc.
• li#ue em CArotocolo :A+-AC e em Aropriedades. li#ue na tab C0et)-%'C e mar#ue a opçãoC;ese&o ativar o 0et)-%' através do :A+-AC. aso esta caixa este&a em cinza, então est$ tudo certotambém.
• li#ue na tab C-dentificaçãoC e colo#ue l$ o nome #ue identificar$ o computador !até >J caracteres" eo nome do grupo de trabalho #ue ele far$ parte!por exemplo C2or*groupC, CsuporteC, etc" . 0ocampo C;escrição do omputadorC, colo#ue algo #ue identifi#ue a m$#uina na rede !por exemplo,Computador da $rea de suporteC".
• li#ue na tab Controle de 8cessoC e mar#ue o Controle de acesso a nível de compartilhamentoC !anão ser #ue tenha configurado um servidor #ue mantenha um controle de nível de usu$rio na rede
para as m$#uinas fora do domínio".
• li#ue em %Y até reiniciar o computador.
8 m$#uina cliente agora faz parte do grupo de trabalho :ente acessar um outro computador da rede enavegar através do ambiente de rede. aso a lista de m$#uinas demore em aparecer, tente acessardiretamente pelo nome do computador, usando o seguinte formato< CcomputadorC
18.1.2.2 0indos < =ome +dition
'iga as instruções de 1indo2s 3A Arofessional Edition, 'eção >H.>N.9.F.
18.1.2.3 0indos < <ro6essional +dition
• 6ogue como administrador do sistemas local.• Entre no item Sistema dentro do painel de controle. 8 tela propriedades de sistema ser$ aberta.
• 0o campo 6escriç8o do 4omputador , colo#ue algo #ue descreva a m$#uina !opcional".
• li#ue na :8) Nome do 4omputador e no botão 7lterar na parte de baixo da &anela.
• 0o campo nome do computador , colo#ue um nome de no m$ximo >J caracteres para identificar am$#uina na rede.
• li#ue em grupo de trabalho e digite o nome do grupo de trabalho na caixa de di$logo.
• li#ue em %Y e aguarde a mensagem confirmando sua entrada no grupo de trabalho. 'er$ necess$rioreiniciar a m$#uina.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 60/73
18.1.2. 0indos < er"er +dition
'iga as instruções de 1indo2s 3A Arofessional Edition, 'eção >H.>N.9.F.
18.1.2.$ 0indos N: 0or7tation
Me&a 1indo2s 0: 'erver, 'eção >H.>N.F.I.
18.1.2.& 0indos N: er"er
• li#ue no item Rede do painel de controle.• 0a tab Se-i7os, confira se os serviços Est'78o de t-')'*0o, Inte-+'%e de
NetBIOS e Se-i7os T;#/I# si(&*es estão instalados. aso não este&am, faça sua
instalação usando o botão Adi%ion'- nesta mesma &anela.
• 0a tab #-oto%o*os, verifi#ue se os protocolos NetB253 e %40930 estão instalados. aso nãoeste&am, faça sua instalação clicando no botão Adi%ion'- nesta mesma &anela.
• 0a tab identificação, cli#ue no botão A*te-'-
• 0a &anela #ue se abrir$, colo#ue o nome do computador no campo No(e do ;o(&ut'do-
• li#ue em :-u&o de t-')'*0o e escreva o nome do grupo de trabalho em frente.
• li#ue em O$ até voltar.
• Aronto, seu computador agora faz parte do grupo de trabalho.
18.1.2.' 0indos 2;;; <ro6essional
• 6ogue como administrador do sistemas local.• Entre no item Sistema dentro do painel de controle. 8 tela propriedades de sistema ser$ aberta.
li#ue em ComputadorC e então no botão CAropriedadesC.
• 0o campo nome do computador , colo#ue um nome de no m$ximo >J caracteres para identificar am$#uina na rede.
• li#ue em grupo de trabalho e digite o nome do grupo de trabalho na caixa de di$logo.
• li#ue em %Y e aguarde a mensagem confirmando sua entrada no grupo de trabalho. 'er$ necess$rioreiniciar a m$#uina.
18.1.2.8 0indos 2;;; er"er
• 6ogue como administrador do sistemas local.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 61/73
• Entre no item Sistema dentro do painel de controle. 8 tela propriedades de sistema ser$ aberta.li#ue em C;escrição de redeC e então no botão CAropriedadesC.
• 0o campo nome do computador , colo#ue um nome de no m$ximo >J caracteres para identificar am$#uina na rede.
• li#ue em grupo de trabalho e digite o nome do grupo de trabalho na caixa de di$logo.
• li#ue em %Y e aguarde a mensagem confirmando sua entrada no grupo de trabalho. 'er$ necess$rioreiniciar a m$#uina.
18.1.2.4 %inu,
%s aplicativos s()%*ient e s()(ount são usados para navegação e montagem dos discos e impressorascompartilhadas em m$#uinas Linux. 'e voc4 procura programas de navegação gr$ficos, como o 7mbiente
de 1ede do Windows ou mais poderosos, ve&a Arogramas de navegação gr$ficos, 'eção >H.>N.J. omo
complemento, também é explicado o programa n()*oo2u& para resolução de endereços 0et)-%' em -A evice7versa e a forma #ue as funções de m$#uinas são definidas em uma rede 0et)EU-.
18.1*.%.5.1 #$)$ount
% s()(ount é uma ferramenta #ue permite a montagem de um disco compartilhado por uma m$#uina 0et)EU- remota como uma partição. Me&a alguns exemplos<
smbmount $$servidor$discoc $mnt$discoc
(onta o compartilhamento de 99servidor9discoc em /(nt/dis%o% usando o nome de usu$rio atual.'er$ pedido uma senha para acessar o conte=do do compartilhamento, caso ele se&a p=blico, voc4
pode digitar #ual#uer senha ou simplesmente pressionar enter.
smbmount $$servidor$discoc $mnt$discoc -N
'emelhante ao comando cima, com a diferença #ue o parPmetro N não pergunta por uma senha. -stoé ideal para acessar compartilhamentos anWnimos.
smbmount $$servidor$discoc $mnt$discoc -o usernamegle*dson;!or"grou#teste
'emelhante aos anteriores, mas acessa o compartilhamento usando gleydson como nome de usu$rio eteste como grupo de trabalho. Este método é ideal para redes #ue tem o nível de acesso por usu$rioou para acessar recursos compartilhados em um domínio.
18.1*.%.5.% #$)cli"nt
% s()%*ient é uma ferramenta de navegação em servidores '8()8. 8o invés dela montar o
compartilhamento como um disco local, voc4 poder$ navegar na estrutura do servidor de forma semelhante aum cliente :A e executar comandos como *s, et, &ut para fazer a transfer4ncia de ar#uivos entre am$#uina remota e a m$#uina local. :ambém é através dele #ue é feita a interface com impressorascompartilhadas remotamente. Me&a exemplos do uso do s()%*ient<
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 62/73
smbclient -1 samba@
6ista todos os compartilhamentos existentes !L" no servidor s'()'1.
smbclient $$samba@$discoc
8cessa o conte=do do compartilhamento dis%o% no servidor s'()'1.
smbclient $$samba@$discoc -N
-d4ntico ao acima, mas não utiliza senha !ideal para compartilhamentos com acesso anWnimo".
smbclient $$samba@$discoc -I @9A@CD@A
'e conecta ao compartilhamento usando o endereço -A 19.1a!.1. ao invés da resolução denomes.
smbclient $$samba@$discoc -/ gle*dson -8 teste
'e conecta ao compartilhamento como usu$rio *edson usando o grupo de trabalho teste.
smbclient $$samba@$discoc -/ gle*dsonteste@ -8 teste
-d4ntico ao acima, mas também envia a senha teste1 para fazer a conexão diretamente.
aso receba a mensagem NT St'tus A%%ess enied, isto #uer dizer #ue não possui direitos deacesso ade#uados para listas ou acessar os compartilhamentos da m$#uina. 0esse caso, utilize as opções UusuD-io e W -u&o/do(nio para fazer acesso com uma conta v$lida de usu$rio existente na
m$#uina.
7BS 0ote #ue a ordem das opções faz diferença no s()(ount.
18.1*.%.5.( n$)looOup
Esta é uma ferramenta usada para procurar nomes de cliente usando o endereço -A, procurar um -A usando onome e listar as características de cada cliente. Me&a alguns exemplos<
nmbloo"u# -E @AFGG@
6ista o nome e as opções usadas pelo servidor 1c.?.?.1
nmbloo"u# servidor
Kesolve o endereço -A da m$#uina se-ido-.
8 listagem exibida pela procura de -A do n()*oo2u& possui cdigos hexadecimais e cada um deles possuium significado especial no protocolo 0et)EU-. 'egue a explicação de cada um<
Identi&ca'(o da mquina
• %(AU:8;%KZGGD % serviço 0et)EU- est$ sendo executado na m$#uina.• %(AU:8;%KZGF D 0ome genérico da m$#uina !nome 0et)-%'".
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 63/73
• %(AU:8;%KZ9G D 'erviço 6an(anager est$ sendo executado na m$#uina.
Identi&ca'(o de gru#os$dom%nio
• 5KUA%V:K8)86X%Z>d 7 Z5KUA% D 0avegador 6ocal de ;omínio+5rupo.• 5KUA%V:K8)86X%Z>b D 0avegador Arincipal de ;omínio.
•
5KUA%V:K8)86X%ZGF 7 Z5KUA% D 0ome 5enérico registrado por todos os membrosdo grupo de trabalho.
• 5KUA%V:K8)86X%Z>c 7 Z5KUA% D ontroladores de ;omínio + 'ervidores de logonna rede.
• 5KUA%V:K8)86X%Z>e 7 Z5KUA% D Kesolvedores de 0omes -nternet !WINS".
Estes cdigos podem lhe ser =teis para localizar problemas mais complicados #ue possam ocorrer durante aconfiguração de um servidor.
18.1*.( Con6i4urando cli"nt"# "$ >o$ínio
Aara configurar #ual#uer um dos cliente abaixo para fazer parte de um domínio de rede, é necess$rio apenas#ue tenha em mãos os seguintes dados<
• 0ome do controlador de domínio A;• 0ome do domínio
• 0ome de usu$rio e senha #ue foram cadastrados no servidor.
• 8cesso administrador no 'EKM-;%K A; !'8()8, 0:, etc".
• ria uma conta de m$#uina no domínio !no caso da m$#uina ser um 1indo2s 0:, 1indo2s 3A,1indo2s 9* ou 6inux". Me&a ontas de m$#uinas de domínio, 'eção >H.O.J para maiores detalhes.
omo o 1indo2s F.>>, 1indo2s ?J, 1indo2s ?H, 1indo2s (E não possuem uma conta de m$#uina, elesnunca serão um membro real de um domínio, podendo sofrer um name spoofing e terem a identidaderoubada. (esmo assim, eles terão pleno acesso aos recursos do domínio e uma configuração mais f$cil #ueos demais clientes. om estes dados em mãos, selecione na lista abaixo o nome do cliente #ue dese&a
integrar no grupo de trabalho<
• 1indo2s ?3, 'eção >H.>N.9.> • 1indo2s 3A Xome Edition, 'eção >H.>N.9.9
• 1indo2s 3A Arofessional Edition, 'eção >H.>N.9.F
• 1indo2s 3A 'erver Edition, 'eção >H.>N.9.N
• 1indo2s 0: 1or*'tation, 'eção >H.>N.9.J
• 1indo2s 0: 'erver, 'eção >H.>N.9.I
• 1indo2s 9GGG Arofessional, 'eção >H.>N.9.O
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 64/73
• 1indo2s 9GGG 'erver, 'eção >H.>N.9.H
• 6inux, 'eção >H.>N.9.?
7BS % 1indo2s 9GGG apresenta algumas dificuldades em entrar na rede do '8()8 9.9, sendo necess$rioo uso do '8()8 :05 9.9.x para aceitar o logon de estações 1indo2s 9GGG.
18.1.3.1 0indos 4
Estas configurações são v$lidas para clientes 1indo2s ?J, 1indo2s ?J%'K+9, 1indo2s ?H. aso utilize oWindows 95 !#ual#uer uma das séries" é aconselh$vel atualizar a stac* :A+-A e 0et)EU- para corrigiralguns problemas #ue podem deixar sua m$#uina vulner$vel na versão #ue acompanha o 1in'oc* do1indo2s ?J.
Aara tornar uma m$#uina parte do domínio, siga os seguintes passos<
• Entre nas propriedades de rede no Aainel de ontrole• -nstale o liente para redes (icrosoft !caso não este&a instalado".
• -nstale o Arotocolo :A+-A. Moc4 também pode instalar o protocolo 0et)-%', mas utilizaremos osuporte 0et)-%' sobre :A+-A #ue é o usado pelo SAMBA além de ter um melhor desempenho,
permitir integração com servidores 1-0', etc.
• li#ue em Cliente para redes (icrosoftC, mar#ue a opção CEfetuar logon no domínio do 1indo2s 0:C. olo#ue o nome do domínio #ue ir$ configurar o cliente para fazer parte na caixa C;omínio do1indo2s 0:C !por exemplo, CsuporteC". 0a parte de baixo da caixa de di$logo, voc4 poder$ escolher como ser$ o método para restaurar as conexões de rede. -nicialmente, recomendo #ue utilize aCEfetuar logon e restaurar as conexões de redeC #ue é mais =til para depurar problemas !possíveiserros serão mostrados logo #ue fizer o logon no domínio".
8de#ue esta configuração as suas necessidades #uando estiver funcionando <"
• li#ue em CArotocolo :A+-AC e em Aropriedades. li#ue na tab C0et)-%'C e mar#ue a opçãoC;ese&o ativar o 0et)-%' através do :A+-AC. aso esta caixa este&a em cinza, então est$ tudo certotambém.
• li#ue na tab C-dentificaçãoC e colo#ue l$ o nome #ue identificar$ o computador !até >J caracteres".
•
;igite o nome de um grupo de trabalho #ue a m$#uina far$ parte no campo C5rupo de :rabalhoC !por exemplo C2or*groupC, CsuporteC, etc". Este campo somente ser$ usado caso o logon no domínio 0:não se&a feito com sucesso. 0o campo C;escrição do omputadorC, colo#ue algo #ue identifi#ue am$#uina na rede !por exemplo, Computador da $rea de suporteC".
• li#ue na tab Controle de 8cessoC e mar#ue o Controle de acesso a nível de usu$rio e especifi#ueo nome da m$#uina #ue serve a lista de usu$rios, #ue normalmente é a mesma do A;.
• li#ue em %Y até reiniciar o computador.
Luando for mostrada a tela pedindo o nome+senha, preencha com os dados da conta de usu$rio #ue criou no
servidor. 0o campo domínio, colo#ue o domínio #ue esta conta de usu$rio pertence e tecle ZEnter. Moc4ver$ o script de logon em ação !caso este&a configurado" e a m$#uina cliente agora faz parte do domínio:ente acessar um outro computador da rede e navegar através do ambiente de rede. aso a lista de m$#uinas
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 65/73
demore em aparecer, tente acessar diretamente pelo nome do computador, usando o seguinte formato<CcomputadorC
18.1.3.2 0indos < =ome +dition
0ão é possível fazer o Windows "# o(e Edition ser parte de um domínio, por causa de limitações destaversão.
18.1.3.3 0indos < <ro6essional +dition
• Arimeiro, siga todos os passos para ingressar a m$#uina em um grupo de trabalho comodocumentado em 1indo2s 3A Arofessional Edition, 'eção >H.>N.9.F.
• 8tualize o registro para permitir a entrada no domínio<
• opie o seguinte conte=do para o ar#uivo Win"#o(.-e<
• RE:EITb
•
• $Eg4LO;AL4MA;INESgSTEM;u--ent;ont-o*SetSe-i%esnet*oon&'-'(ete-s
• Reui-eSinO-Se'*6dwo-d????????
• SinSe%u-e;0'nne*6dwo-d????????
• Execute o comando -eedit Win"#o(.-e no cliente 3A.
• Entre nos ítens !em se#^encia" Aainel de controle+erramentas 8dministrativas+ Aolítica de segurançalocal+políticas locais e depois em Copções de segurançaC. 0a &anela de opções de segurança, desativeas opções CEncriptar digitalmente ou assinar um canal seguro !sempre"C, C;esativar modificações desenha na conta de m$#uinaC e CKe#uer chave de seção forte !1indo2s 9GGG ou superior".C
• Keinicie a m$#uina.
• 8ps reiniciar a m$#uina, volte na tela de alteração de identificação de m$#uina na rede.
• li#ue com o mouse em C;omínioC e digite o nome do domínio na caixa de di$logo.
• 0a tela seguinte, ser$ lhe pedido o nome de usu$rio e senha com poderes administrativos #ue podem
inserir+remover m$#uinas do domínio.
• li#ue em %Y e aguarde a mensagem confirmando sua entrada no domínio. 'er$ necess$rio reiniciar a m$#uina aps concluir este passo.
18.1.3. 0indos < er"er +dition
'iga os procedimentos documentados em 1indo2s 3A Arofessional Edition, 'eção >H.>N.F.F
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 66/73
18.1.3.$ 0indos N: 0or7tation
Me&a os passos em 1indo2s 0: 'erver, 'eção >H.>N.F.I.
18.1.3.& 0indos N: er"er
• li#ue no item Rede do painel de controle.• 0a tab Se-i7os, confira se os serviços Est'78o de t-')'*0o, Inte-+'%e de
NetBIOS e Se-i7os T;#/I# si(&*es estão instalados. aso não este&am, faça suainstalação usando o botão Adi%ion'- nesta mesma &anela.
• 0a tab #-oto%o*os, verifi#ue se os protocolos NetB253 e %40930 estão instalados. aso nãoeste&am, faça sua instalação clicando no botão Adi%ion'- nesta mesma &anela.
• 0a tab identificação, cli#ue no botão A*te-'-
• 0a &anela #ue se abrir$, colo#ue o nome do computador no campo No(e do ;o(&ut'do-
• li#ue em o(inio e escreva o nome do domínio #ue dese&a entrar.
• Aara criar uma conta de m.Euina no domínio, cli#ue em %-i'- u(' %ont' de %o(&ut'do-no do(nio e colo#ue na parte de baixo o nome do usu$rio sua senha. % usu$rio dever$ ter
poderes para adicionar m$#uinas no domínio. aso a conta de m$#uina não se&a criada, o 1indo2s 0: ser$ como um 1indo2s ?J+?H na rede, sem a segurança #ue seu nome 0et)-%' não se&a usado por outros !ve&a ontas de m$#uinas de domínio, 'eção >H.O.J".
• li#ue em %Y até voltar.
• Aronto, seu computador agora faz parte do domínio.
18.1.3.' 0indos 2;;; <ro6essional
'iga os passos descritos em 1indo2s 9GGG 'erver, 'eção >H.>N.F.H.
18.1.3.8 0indos 2;;; er"er
• Arimeiro, siga todos os passos para ingressar a m$#uina em um grupo de trabalho comodocumentado em 1indo2s 9GGG 'erver, 'eção >H.>N.9.H.
• 8ps reiniciar a m$#uina, volte na tela de alteração de identificação de m$#uina na rede.
• li#ue com o mouse em C;omínioC e digite o nome do domínio na caixa de di$logo.
•
0a tela seguinte, ser$ lhe pedido o nome de usu$rio e senha com poderes administrativos #ue podeminserir+remover m$#uinas do domínio.
• li#ue em %Y e aguarde a mensagem confirmando sua entrada no domínio. 'er$ necess$rio reiniciar a m$#uina aps concluir este passo.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 67/73
aso não consiga trocar a senha do 1indo2s 9GGG no servidor A;, desative a opção unix &'sswo-dsn%.
18.1.3.4 %inu,
• Entre no sistema como usu$rio root .• -nstale o SAMBA caso não este&a ainda instalado.
• Edite o ar#uivo de configuração do samba /et%/s'()'/s().%on+, ser$ necess$rio modificar asseguintes linhas na seção !global"<
• =*o)'*>
• wo-2-ou& 6 no(e4do(nio
• se%u-it 6 do('in
• &'sswo-d se-e- 6 no(e4&d% no(e4)d%
• en%-&t &'sswo-ds 6 t-ue
%nde<
o wo-2-ou& 7 0ome do domínio #ue dese&a fazer parte.o se%u-it 7 0ível de segurança. 0esta configuração, utilize CdomainC.
o &'sswo-d se-e- 7 0ome da m$#uina A;, );. :ambém poder$ ser usado \, assim oSAMBA tentar$ descobrir o servidor A; e ); automaticamente, da mesma forma usada
pelo Windows.
oen%-&t &'sswo-ds
7 ;iz se as senhas serão encriptadas ou não. 'empre utilize senhascriptografadas para colocar uma m$#uina em um domínio.
Keinicie o servidor SAMBA aps estas modificações.
• Execute o comando< s()&'sswd do(nio - #;/B; U usu'-io4'd(in. %nde<o do(nio 7 ;omínio #ue dese&a fazer o logon
o #;/B; 7 0ome da m$#uina A;+); do domínio. Em alguns casos, pode ser omitido.
o usu'-io4'd(in 7 Usu$rio com poderes administrativos para ingressara a m$#uina no
domínio.
• 'e tudo der certo, aps executar este comando, voc4 ver$ a mensagem<
• loined do('in do(nio.
'e sua configuração não funcionou, revise com atenção todos os ítens acima. Merifi#ue se a conta dem$#uina foi criada no servidor e se o SAMBA na m$#uina cliente foi reiniciado. ;e também uma olhada emErros conhecidos durante o logon do cliente, 'eção >H.>N.N.
7BS% '8()8 envia primeiramente um usu$rio+senha falso para verificar se o servidor re&eita o acessoantes de enviar o par de nome+senha corretos. Aor este motivo, seu usu$rio pode ser blo#ueado aps umdeterminado n=mero de tentativas em alguns servidores mais restritivos. Aara acessar os recursoscompartilhados, ve&a 6inux, 'eção >H.>N.9.?. 0ote #ue não é obrigatrio realizar as configurações acima
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 68/73
para acessar os recursos de uma m$#uina em domínio, basta apenas #ue autenti#ue com seu nome deusu$rio+senha no domínio e #ue ela se&a autorizada pelo A;.
18.1*.* ?rro# con,"cido# durant" o lo4on do cli"nt"
Esta seção contém os erros mais comuns e a forma de correção da maioria dos problemas #ue ocorrem#uando um cliente '8()8 tenta entrar em domínio.
• e--o- %-e'tin do('in use- NT4STATUS4A;;ESS4ENIE 7 8 conta de m$#uina nodomínio não foi criada. Me&a ontas de m$#uinas de domínio, 'eção >H.O.J para mais detalhes.
• NT4STATUS4NO4TRUST4SAM4A;;OUNT 7 0ão existe conta de m$#uina no Windows NT paraautenticar uma m$#uina no domínio. Esta mensagem é mostrada #uando a m$#uina '8()8 écliente de um domínio 0:.
• e--o- settin t-ust '%%ount &'sswo-d NT4STATUS4A;;ESS4ENIE 7 8 senha para criação de conta na m$#uina est$ incorreta ou a conta utilizada não tem permissões para
ingressar uma m$#uina no domínio !ve&a riando uma conta de administrador de domínio, 'eção>H.O.I". aso este&a usando um cliente '8()8, verifi#ue se o parPmetro en%-&t &'sswo-ds est$ ativado.
• A sen0' in+o-('d' n8o estD %o--et' ou o '%esso 'o seu se-ido- de*oon +oi ne'do 7 Merifi#ue primeiro os logs de acessos do sistema. aso o '8()8 este&asendo executado via inetd, verifi#ue se a configuração padrão é restritiva e se o acesso est$ sendonegado pelos ar#uivos do tcp 2rappers 0osts.'**ow e 0osts.den.
• n8o existe( se-ido-es de *oon no do(nio 7 Merifi#ue se o parPmetro do('in
*oons 6 es foi usado para permitir o logon em domínio.
18.1*.+ Ero4ra$a# d" na3"4aço 4r;6ico#
% s()%*ient, n()*oo2u& e s()(ount são ferramentas extremamente poderosas auxiliando bastante oadministrador na tarefa de configuração de sua rede e resolver problemas. Aara o uso no dia a dia ou #uandonão é necess$ria a operação via console, voc4 pode utilizar uma das alternativas abaixo #ue são front7ends aestas ferramentas e facilitam o trabalho de navegação na rede.
18.1.$.1 linneighborhood
liente '8()8 baseado em 5:Y, muito leve e possibilita a navegação entre os grupos m$#uinas em formade $rvore. Ele também permite a montagem de compartilhamentos remotos. aso precise de recursos maiscomplexos e autenticação, recomendo o :*'mb, 'eção >H.>N.J.9.
18.1.$.2 :7mb
liente '8()8 baseado em :6+:Y. 'eu ponto forte é a navegação nos recursos da m$#uina ao invés darede completa, possibilitando autenticação em domínio+grupo de trabalho, montagem de recursos, etc.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 69/73
18.1*. Cli"nt" d" con6i4uraço 4r;6ico#
'ão ferramentas #ue permitem a configuração do samba usando a interface gr$fica. -sto facilita bastante o processo, principalmente se estiver em d=vidas em algumas configurações, mas como todo bomadministrador U0-3 sabe, isto não substitui o conhecimento sobre o funcionamento de cada opção e a&ustes
e organização feita diretamente no ar#uivo de configuração.
18.1.&.1 gnosamba
erramenta de configuração gr$fica usando o 50%(E. om ele é possível definir configuraçõeslocalmente. Ele ocupa pouco espaço em disco, e se voc4 gosta de 5:Y, este é o recomendado.
8s opções do '8()8 são divididas em categorias facilitando sua localização e uso.
18.1.&.2 sat
erramenta de administração via 2eb do samba. Este é um daemon #ue opera na porta ?G> da m$#uina ondeo servidor samba foi instalado. 8 configuração é feita através de #ual#uer navegador acessando0tt&//i&4do4se-ido-9?1 e logando7se como usu$rio root !o =nico com poderes para escrever noar#uivo de configuração".
Esta ferramenta vem evoluindo bastante ao decorrer dos meses e é a recomendada para a configuração do
servidor '8()8 remotamente. 'eu modo de operação divide7se em b.sico e avançado. 0o modo )Dsi%o,voc4 ter$ disponível as opções mais comuns e necess$rias para compartilhar recursos na rede. % modo''n7'do apresenta praticamente todos os parPmetros aceitos pelo servidor samba !restrições, controle deacesso, otimizações, etc.".
18.1+ ?x"$plo# d" con6i4uraço do #"r3idor SAMBA
%s exemplos existentes nesta seção cobrem diferentes tipos de configuração do servidor, tanto em modo de
compartilhamento com acesso p=blico ou um domínio restrito de rede. :odos os exemplos estão bemcomentados e explicativos, apenas pegue o #ue se en#uadre mais em sua situação para uso prprio eadaptações.
18.1+.1 Grupo d" ra)al,o co$ ac"##o pP)lico
Este exemplo pode ser usado de modelo para construir uma configuração baseada no controle de acessousando o nível de segurança share e #uando possui compartilhamentos de acesso p=blico. Esta configuraçãoé indicada #uando necessita de compatibilidade com soft2ares 0et)-%' antigos.
@ A-uio de %on+iu-'78o do SAMBA %-i'do &o-@ :*edson M']io*i d' Si*' k*edson`de)i'n.o-j
@ &'-' o ui' o%' :NU/Linux A'n7'do ;'&tu*o SAMBA @ Este s%-i&t &ode se- %o&i'do e dist-i)udo *i-e(ente de
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 70/73
@ '%o-do %o( os te-(os d' :#L. E*e n8o te( ' inten78o de@ 'tende- u(' dete-(in'd' +in'*id'de, sendo us'do '&en's@ &'-' +ins didDti%os, &o-t'nto +i%' ' intei-' -es&ons')i*id'de
@ do usuD-io su' uti*i]'78o.
=*o)'*> @ no(e d' (Duin' n' -ede net)ios n'(e 6 teste @ no(e do -u&o de t-')'*0o ue ' (Duin' &e-ten%e-D
wo-2-ou& 6 +o%'*inux @ ne* de seu-'n7' s0'-e &e-(ite ue %*ientes 'ntios ('nten0'( '%o(&'ti)i*id'de @ eni'ndo so(ente ' sen0' &'-' '%esso 'o -e%u-so, dete-(in'ndo o no(e de usuD-io @ de out-'s +o-('s se%u-it 6 s0'-e @ O -e%u-so de sen0's %-i&to-'+'d's n8o +un%ion' u'ndo us'(os o ne* s0'-e
@ de seu-'n7'. O (otio disto G &o-ue 'uto('ti%'(ente G 'ssu(ido ue o%Q@ estD se*e%ion'ndo este ne* &o- ('nte- %o(&'ti)i*id'de %o( siste('s 'ntios
@ ou &'-' dis&oni)i*i]'- %o(&'-ti*0'(entos &)*i%os, ondeen%-&t &'sswo-ds 6 +'*se
@ ;ont' ue se-D ('&e'd' &'-' o usuD-io uest uest '%%ount 6 no)od @ ;o(o todos os %o(&'-ti*0'(entos dest' %on+iu-'78o s8o de '%esso &)*i%o @ %o*ouei este &'-(et-o n' se78o =*o)'*>, 'ssi( est' o&78o '+et'-D todos @ os %o(&'-ti*0'(entos. uest o2 6 1 @ ;onunto de %'-'%te-es uti*i]'dos &'-' '%ess'- os %o(&'-ti*0'(entos. O &'d-8o @ &'-' o B-'si* e &'ses de *nu' *'tin' G o ISO !!591 %0'-'%te- set 6 ISO!!591
@ ;o(&'-ti*0' o di-etK-io /t(& ^&'t0 6 /t(&_ %o( o no(e te(&o-'-io^=te(&o-'-io>_, @ G 'di%ion'd' ' des%-i78o i-etK-io te(&o-D-io %o( '%esso *eitu-'/-''78o
@ ^-e'd on* 6 no_ e exi)ido n' 'ne*' de n'e'78o d' -ede ^)-owse')*e 6 es_. =te(&o-'-io> &'t0 6 /t(& %o((ent 6 i-etK-io te(&o-D-io -e'd on* 6 no )-owse')*e 6 es
@ ;o(&'-ti*0' o di-etK-io /&u) ^&'t0 6 /&u)_ %o( o no(e &u)*i%o ^=&u)*i%o>_. @ A des%-i78o i-etK-io de '%esso &)*i%o G 'sso%i'd' 'o %o(&'-ti*0'(ento @ %o( '%esso so(ente *eitu-' ^-e'd on* 6 es_ e exi)ido n' 'ne*' de n'e'78o
@ d' -ede ^)-owse')*e 6 es_. =&u)*i%o>
&'t0 6/&u) %o((ent 6 i-etK-io de '%esso &)*i%o -e'd on* 6 es )-owse')*e 6 es
@ ;o(&'-ti*0' tod's 's i(&-esso-'s en%ont-'d's no /et%/&-int%'& do siste(' @ U(' des%-i78o (e*0o- do ti&o es&e%i'* de %o(&'-ti*0'(ento =&-inte-s> @ G ex&*i%'do no ini%io do ui' o%' Linux =&-inte-s> %o((ent 6 A** #-inte-s &'t0 6 /t(& %-e'te ('s2 6 ?c?? &-int')*e 6 ges )-owse')*e 6 No
18.1+.% Grupo d" ra)al,o co$ ac"##o por u#u;rio
% exemplo abaixo descreve uma configuração a nível de segurança por usu$rio onde existemcompartilhamentos #ue re#uerem login e usu$rios específicos, e restrições de -As e interface onde o servidor
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 71/73
opera. Esta configuração utiliza senhas em texto claro para acesso dos usu$rios, mas pode ser facilmentemodificada para suportar senhas criptografadas.
@ A-uio de %on+iu-'78o do SAMBA %-i'do &o-@ :*edson M']io*i d' Si*' j*edson`de)i'n.o-j
@ &'-' o ui' o%' :NU/Linux A'n7'do ;'&tu*o SAMBA @ Este s%-i&t &ode se- %o&i'do e dist-i)udo *i-e(ente de
@ '%o-do %o( os te-(os d' :#L. E*e n8o te( ' inten78o de@ 'tende- u(' dete-(in'd' +in'*id'de, sendo us'do '&en's
@ &'-' +ins didDti%os, &o-t'nto +i%' ' intei-' -es&ons')i*id'de @ do usuD-io su' uti*i]'78o.
=*o)'*> @ no(e d' (Duin' n' -ede net)ios n'(e 6 teste @ no(e do -u&o de t-')'*0o ue ' (Duin' &e-ten%e-D wo-2-ou& 6 +o%'*inux @ ne* de seu-'n7' use- so(ente '%eit' usuD-ios 'utenti%'dos '&Ks o enio
@ de *oin/sen0' se%u-it 6 use- @ H uti*i]'d' sen0's e( texto %*'-o nest' %on+iu-'78o en%-&t &'sswo-ds 6 +'*se
@ ;ont' ue se-D ('&e'd' &'-' o usuD-io uest uest '%%ount 6 no)od @ #e-(ite -est-ini- u'is inte-+'%es o SAMBA -es&onde-D )ind inte-+'%es on* 6 es @ '] o s'()' sK -es&onde- -euisi7Ves indo de et0? inte-+'%es 6 et0? @ Su&ondo ue noss' inte-+'%e et0? -e%e)' %onexVes -ote'd's de die-s's
@ out-'s -edes, &e-(ite so(ente 's %onexVes ind's d' -ede 19.1a!.1.?/b 0osts '**ow 6 19.1a!.1.?/b @ A (Duin' 19.1a!.1.5c &ossui 'tew' &'-' '%esso inte-no, %o(o (edid' @ de seu-'n7', )*oue'(os o '%esso dest' (Duin'. 0osts den 6 19.1a!.1.5c/3
@ ;onunto de %'-'%te-es uti*i]'dos &'-' '%ess'- os %o(&'-ti*0'(entos. O &'d-8o @ &'-' o B-'si* e &'ses de *nu' *'tin' G o ISO !!591 %0'-'%te- set 6 ISO!!591
@ As -est-i7Ves do #AM te-8o e+eito so)-e os usuD-ios e -e%u-sos us'dos do SAMBA o)e &'( -est-i%tion 6 es
@ M'&ei' o di-etK-io 0o(e do usuD-io 'utenti%'do. Este %o(&'-ti*0'(ento es&e%i'* @ G des%-ito e( ('is det'*0es no ini%io do %'&tu*o so)-e o SAMBA no o%' Linux. =0o(es> %o((ent 6 i-etK-io do UsuD-io %-e'te ('s2 6 ?c?? di-e%to- ('s2 6 ?c??
)-owse')*e 6 No
@ ;o(&'-ti*0' o di-etK-io win ^&'t0 6 /win_ %o( o no(e win ^=win>_.@ A des%-i78o 'sso%i'd' 'o %o(&'-ti*0'(ento se-D is%o do Windows,@ o no(e de o*u(e &-e%is' se- es&e%i+i%'do &ois us'(os &-o-'('s@ ue ' &-ote78o 'nti %K&i' G o se-i'*. Aind' +']e(os u(' &-ote78o
@ onde u'*ue- usuD-io existente no -u&o `'d( G 'uto('ti%'(ente@ -eeit'do e o usuD-io )'duse- so(ente &ossui &e-(iss8o de *eitu-'
@ ^-e'd *ist 6 )'duse-_. @ =win> &'t0 6 /win %o((ent 6 is%o do Windows
o*u(e 6 3;b3b; in'*id use-s 6 `'d( )-owse')*e 6 es -e'd *ist 6 )'duse-
@ ;o(&'-ti*0' o di-etK-io /&u) ^&'t0 6 /&u)_ %o( o no(e &u)*i%o ^=&u)*i%o>_.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 72/73
@ A des%-i78o i-etK-io de '%esso &)*i%o G 'sso%i'd' 'o %o(&'-ti*0'(ento @ %o( '%esso so(ente *eitu-' ^-e'd on* 6 es_ e exi)ido n' 'ne*' de n'e'78o
@ d' -ede ^)-owse')*e 6 es_. O &'-(et-o &u)*i% 6 es &e-(ite ue este@ %o(&'-ti*0'(ento se' '%ess'do us'ndo o usuD-io no)od se( o +o-ne%i(ento
@ de sen0'. =&u)*i%o>
&'t0 6/&u) %o((ent 6 i-etK-io de '%esso &)*i%o -e'd on* 6 es
)-owse')*e 6 es &u)*i% 6 es
18.1+.( >o$ínio
@ A-uio de %on+iu-'78o do SAMBA %-i'do &o-@ :*edson M']io*i d' Si*' k*edson`de)i'n.o-j
@ &'-' o ui' o%' :NU/Linux A'n7'do ;'&tu*o SAMBA @ Este s%-i&t &ode se- %o&i'do e dist-i)udo *i-e(ente de
@ '%o-do %o( os te-(os d' :#L. E*e n8o te( ' inten78o de@ 'tende- u(' dete-(in'd' +in'*id'de, sendo us'do '&en's
@ &'-' +ins didDti%os, &o-t'nto +i%' ' intei-' -es&ons')i*id'de @ do usuD-io su' uti*i]'78o.
=*o)'*> @ no(e d' (Duin' n' -ede net)ios n'(e 6 teste @ no(e do -u&o de t-')'*0o ue ' (Duin' &e-ten%e-D wo-2-ou& 6 +o%'*inux @ St-in ue se-D (ost-'d' unto %o( ' des%-i78o do se-ido- se-e- st-in 6 se-ido- #; &-in%i&'* de testes @ ne* de seu-'n7' use- so(ente '%eit' usuD-ios 'utenti%'dos '&Ks o enio
@ de *oin/sen0' se%u-it 6 use-
@ Uti*i]'(os sen0's %-i&to-'+'d's nest' %on+iu-'78o en%-&t &'sswo-ds 6 t-ue s() &'sswd +i*e 6 /et%/s'()'/s()&'sswd @ ;ont' ue se-D ('&e'd' &'-' o usuD-io uest uest '%%ount 6 no)od @ #e-(ite -est-ini- u'is inte-+'%es o SAMBA -es&onde-D )ind inte-+'%es on* 6 es @ '] o s'()' sK -es&onde- -euisi7Ves indo de et0? inte-+'%es 6 et0?
@ %o(o est'(os &*'ne'ndo te- u( -'nde n(e-o de usuD-ios n' -ede, diidi(os @ os '-uios de *o do se-ido- &o- (Duin'. *o +i*e 6 /'-/*o/s'()'/s'()'C(CI.*o @ O t'('n0o de ;AA '-uio de *o %-i'do dee-D se- 1MB ^1?b$)_.
('x *o si]e 6 1???@ Es%o*0e(os u( ne* de OS %o( u(' )o' +o*' &'-' en%e- 's e*ei7Ves de@ %ont-o*'do- de do(nio *o%'*
os *ee* 6 !?@ i]e(os ue ue-e(os se- o o('in M'ste- B-owse ^o &'d-8o G 'uto_
do('in ('ste- 6 es @ '(os '*u('s 'nt'ens &'-' o se-ido- 'n0'- ' e*ei78o %'so
@ '%onte7' dese(&'te &o- %-itG-ios &-e+e--ed ('ste- 6 es @ T'()G( ue-e(os se- o *o%'* ('ste- )-owse- &'-' nosso se(ento de -ede *o%'* ('ste- 6 es @ Este se-ido- su&o-t'-D *oon de usuD-ios do('in *oons 6 es @ UsuD-ios ue &ossue( &ode-es &'-' 'di%ion'-/-e(oe- (Duin's no do(nio @ ^te-8o seu ne* de '%esso iu'* ' -oot_ 'd(in use-s 6 *edson @ Unid'de ue se-D ('&e'd' &'-' o usuD-io *o%'* du-'nte o *oon ^'&en's @ siste('s )'se'dos no NT_.
7/23/2019 Apostila User Guia Foca GNU
http://slidepdf.com/reader/full/apostila-user-guia-foca-gnu 73/73
*oon d-ie 6 ( @ No(e do s%-i&t ue se-D exe%ut'do &e*'s (Duin's %*ientes *oon s%-i&t 6 *oon.)'t
@ A78o ue se-D to('d' du-'nte o -e%e)i(ento de (ens'ens do@ Win&o&u&.(ess'e %o(('nd 6 /)in/s0 % /us-/)in/*in&o&u& C+ C( Cs -( Cs
@ ;onunto de %'-'%te-es uti*i]'dos &'-' '%ess'- os %o(&'-ti*0'(entos. O &'d-8o
@ &'-' o B-'si* e &'ses de *nu' *'tin' G o ISO !!591 %0'-'%te- set 6 ISO!!591
@ As -est-i7Ves do #AM te-8o e+eito so)-e os usuD-ios e -e%u-sos us'dos do SAMBA o)e &'( -est-i%tion 6 es
@ M'&ei' o di-etK-io 0o(e do usuD-io 'utenti%'do. Este %o(&'-ti*0'(ento es&e%i'* @ G des%-ito e( ('is det'*0es no ini%io do %'&tu*o so)-e o SAMBA no o%' Linux. =0o(es> %o((ent 6 i-etK-io do UsuD-io %-e'te ('s2 6 ?c?? di-e%to- ('s2 6 ?c?? )-owse')*e 6 No
@ ;o(&'-ti*0' o di-etK-io win ^&'t0 6 /win_ %o( o no(e win ^=win>_.@ A des%-i78o 'sso%i'd' 'o %o(&'-ti*0'(ento se-D is%o do Windows,@ o no(e de o*u(e &-e%is' se- es&e%i+i%'do &ois us'(os &-o-'('s@ ue ' &-ote78o 'nti %K&i' G o se-i'*. Aind' +']e(os u(' &-ote78o
@ onde u'*ue- usuD-io existente no -u&o `'d( G 'uto('ti%'(ente@ -eeit'do e o usuD-io )'duse- so(ente &ossui &e-(iss8o de *eitu-'
@ ^-e'd *ist 6 )'duse-_. @ =win> &'t0 6 /win %o((ent 6 is%o do Windows o*u(e 6 3;b3b; in'*id use-s 6 `'d( )-owse')*e 6 es -e'd *ist 6 )'duse-
@ ;o(&'-ti*0' o di-etK-io /&u) ^&'t0 6 /&u)_ %o( o no(e &u)*i%o ^=&u)*i%o>_. @ A des%-i78o i-etK-io de '%esso &)*i%o G 'sso%i'd' 'o %o(&'-ti*0'(ento @ %o( '%esso so(ente *eitu-' ^-e'd on* 6 es_ e exi)ido n' 'ne*' de n'e'78o
@ d' -ede ^)-owse')*e 6 es_. O &'-(et-o &u)*i% 6 es &e-(ite ue este@ %o(&'-ti*0'(ento se' '%ess'do us'ndo o usuD-io no)od se( o +o-ne%i(ento
@ de sen0'. =&u)*i%o>
&'t0 6/&u) %o((ent 6 i-etK-io de '%esso &)*i%o -e'd on* 6 es )-owse')*e 6 es &u)*i% 6 es
@ ;o(&'-ti*0'(ento es&e%i'* uti*i]'do &'-' o *oon de (Duin's n' -ede =net*oon>
&'t0 /&u)/s'()'/net*oon/*oon )'t
