Mit dem SuSE Linux Office Server (alias SLOS) offeriert SuSE eine kompakte, umfassend ausgestattete und auch für Linux-Einsteiger handhabbare Server-Komplettlösung für kleine Netze. Dabei bedient der SLOS nicht nur die Linux-Klientel, sondern kommt auch mit Windows-Arbeitsplätzen bestens zurecht.
Der Workshop ist ein Auszug aus unserem tecCHANNEL-Compact "Linux-Server Komplettpaket", das seit 11. Juli 2003 im Handel ist. Dort finden Sie den kompletten Workshop, zusätzliche Beiträge und die Software-CD mit dem SuSE Linux Office-Server. Bei Direktbestellung unter www.tecChannel.de/shop erhalten Sie die Compact-Ausgabe mit CD für nur 8,90 Euro inklusive Versandkosten komfortabel mit der Post.
Sie können die Compact-Ausgabe jedoch auch als PDF-Datei herunterladen. Im 550 MByte großen Download ist das ISO-Image der CDROM enthalten und als besonders Highlight ein exklusiver Bestellschein für den brandneuen SuSE LINUX Standard Server 8 mit 115 Euro Preisvorteil. Mehr dazu lesen Sie hier.
Der SLOS brilliert nicht nur als File-/Printserver und NT-Server-Ersatz für Windows-Maschinen. Er betätigt sich zudem auch als Internet-Gateway für die Clients, als Firewall für das lokale Netz sowie als Proxy- und Intranet-Server. Mit etwas händischer Nacharbeit erledigt er daneben auch die elektronische Post.
Umfassende Einrichtungs-Assistenten und ein ausführliches Handbuch machen die Einrichtung des SLOS für den Linux-Kenner zum Kinderspiel. Für den weniger mit dem Open-Source-OS vertrauten Anwender bleiben trotzdem an vielen Stellen noch Fragen offen. Die soll unser ausführlicher SLOS-Workshop beseitigen. Zudem bietet er Tipps, Tricks und Ergänzungen zu Funktionen und Einsatzgebieten, die die SLOS-Dokumentation auslässt.
Der vorliegende Teil 7 unserer Reihe beschäftigt sich mit der erweiterten Netzwerk-Konfiguration für DHCP, DNS, NIS/NFS sowie Samba.
Teil | Überschrift |
|---|---|
| |
Teil 1 | |
Teil 2 | |
Teil 3 | |
Teil 4 | |
Teil 5 | |
Teil 6 | |
Teil 7 | NIS/NFS, DHCP, DNS und Samba |
Teil 8 | Security und Firewall |
Teil 9 | Server-Fernwartung mit Cygwin |
NIS und NFS im Detail
Bereits in Kapitel 1.3 haben Sie bei der Konfiguration von Linux-Clients die beiden Dienste Network Information Service (NIS) und Network File System (NFS) eingerichtet. Diese stellen sicher, dass beim gemeinsamen Zugriff mehrerer Linux-Systeme auf Ressourcen in einem Netzwerk die Benutzer- und Gruppenkennungen miteinander harmonieren. Das Netzwerk soll dabei für den Anwender transparent sein: Egal an welchem Rechner er arbeitet, er findet stets dieselbe Umgebung vor.
Das NFS dient dabei der Verteilung von Dateisystemen im Netzwerk. NIS versteht man als einen Datenbankdienst, der den Zugriff auf Informationen aus den Dateien /etc/passwd, /etc/shadow sowie /etc/group netzwerkweit ermöglicht. Den Network Information Service bezeichnet man auch oft als Yellow Pages, kurz YP, also die "Gelben Seiten" im Netzwerk.
Sowohl bei NFS als auch bei NIS handelt es sich um so genannte asymmetrische Dienste. Es gibt also jeweils einen Server und einen oder mehrere Clients. Dabei kann jedoch ein Rechner auch beides sein: Er darf gleichzeitig Dateisysteme im Netzwerk zur Verfügung stellen, also exportieren, und Dateisysteme anderer Rechner mounten, also importieren.
Manuelles Einrichten eines NIS-Client
Neben der bereits besprochenen Möglichkeit der Konfiguration über YaST2 können Sie auf den Linux-Clients NIS auch manuell einrichten. Dies sollten Sie jedoch nur tun, wenn Sie bereits etwas Erfahrung mit Ihrem Linux-System haben. Bei den Distributionen von SuSE Linux finden Sie im Paket ypbind der Serie n alle notwendigen Programme zum Konfigurieren eines NIS-Client.
Zum Einrichten des Client müssen Sie im ersten Schritt den Namen der verwendeten NIS-Domain festlegen. Dazu muss in der Datei /etc/rc.config die Variable YP_DOMAINNAME entsprechend angepasst werden. Beim Übergang in einen Runlevel, in dem das Netzwerk verwendet wird, wertet das System-Script /etc/init.d/network den Wert aus und setzt entsprechend den NIS-Domain-Namen. Wird hier jedoch der Name nicht korrekt angegeben, dann startet der ypbind-Daemon nicht.
Beachten Sie hierbei, dass der NIS-Domain-Name nicht mit dem DNS-Domainnamen zu verwechseln ist. Die beiden Namen haben grundsätzlich nichts miteinander zu tun. Sie können jedoch gleich lauten, was nach der Installation des SuSE Linux Office Server auch der Fall ist.
Falls Sie sich nur ungern mit Konfigurationsdateien herumschlagen, können Sie zum Anpassen der Variable auch den "RC-Config-Editor" verwenden, den Sie unter "Office Server Control Center, Sonstiges" finden. Den fragliche Eintrag residiert im Menü unter dem Punkt "Network, NIS".
Adressen und Dienste
Im nächsten Schritt legen Sie die IP-Adresse oder alternativ den Host-Namen des NIS-Servers über die Variable YP_SERVER fest. Auch diese Variable geben Sie wieder direkt in der Datei /etc/rc.config an oder modifizieren sie über den entsprechenden Editor in YaST2.
Der Host-Name muss auch in der Datei /etc/yp.config, der zentralen Konfigurationsdatei für den NIS-Client, korrekt angegeben sein. Hierbei ist eine Zeile erforderlich, die mit dem Schlüsselwort ypserver beginnt und in welcher der Name des Servers steht. Falls Sie anstatt einer IP-Adresse einen Host-Namen für den NIS-Server angeben, muss sich dieser Name auch über die Datei /etc/hosts auflösen lassen.
Der Network Information Service wird über so genannte Remote Procedure Calls, kurz RPCs, realisiert. Aus diesem Grund ist es unabdingbar, dass der RPC-Portmapper läuft. Der Server wird über /etc/init.d/portmap gestartet. Dies wird allerdings automatisch erledigt, wenn das Starten des Portmappers in /etc/rc.config veranlasst wurde.
Start des Client
Nun ergänzen Sie die Einträge in den Dateien /etc/passwd sowie /etc/group. Damit nach dem Durchsuchen der lokalen Dateien eine Anfrage beim NIS-Server gemacht wird, müssen die entsprechenden Dateien durch eine Zeile, welche mit einem Pluszeichen beginnt, ergänzt werden.
Als letzter Schritt der Konfiguration erfolgt der Start des Programms ypbind und damit der eigentliche Start des Client. Die Netzwerkdienste müssen bei dieser Gelegenheit ebenfalls neu gestartet werden. Hierzu geben Sie als User root auf der Konsole die folgenden beiden Befehle ein:
rcnetwork restart
rcypbind start
Eine ausführliche Beschreibung zum Einrichten eines NIS-Client finden Sie auf dem SuSE Linux Office Server unter /usr/share/doc/packages/ypbind/HOWTO.SuSE.
Manuelles Importieren mit NFS
Das Importieren von Dateisystemen von einem NFS-Server ist mit Hilfe des Konfigurationstools YaST2 mit nur wenigen Mausklicks schnell und unkompliziert erledigt. Noch einen Tick schneller können Sie den Import jedoch über die Kommandozeile erledigen. Analog zum Einbinden von Disketten oder Festplatten ins Dateisystem kommt hier der Befehl mount zum Einsatz. Die Syntax lautet dabei wie folgt:
mount -t nfs [server]:[remote-path] [local-path]
Wenn Sie beispielsweise auf Ihrem Linux-Client das Verzeichnis /vertrieb vom Rechner server1 als lokales Verzeichnis /vertrieb importieren möchten, geben Sie folgenden Befehl ein:
mount -t nfs server1:/vertrieb /vertrieb
Manuelles Exportieren mit NFS
Doch nicht nur auf dem Linux-Client können NIS und NFS von Hand konfigurieren. Dasselbe funktioniert sinngemäß auch beim Export der Verzeichnisse auf dem SuSE Linux Office Server. Im Folgenden erläutern wir, wie Sie Dateisysteme manuell exportieren.
Da die beiden Dienste NIS und NFS auf dem Server bereits komplett konfiguriert sind, fallen an dieser Stelle keine umfangreichen Änderungen mehr an. Sie brauchen nur noch festzulegen, welche Dateisysteme welchen Linux-Clients zur Verfügung stehen sollen. Das geschieht in der Datei /etc/exports.
Für jedes zu exportierende Verzeichnis benötigen Sie eine Zeile, in der steht, welche Rechner darauf in welcher Art und Weise zugreifen dürfen. Dabei werden alle Unterverzeichnisse eines exportierten Verzeichnisses ebenfalls automatisch freigegeben. Die zum Zugriff berechtigten Clients gibt man in der Regel mit ihrem Host- und Domain-Namen an.
Es ist aber auch möglich, mit den aus der Bourne-Shell bekannten Joker-Zeichen * und ? zu arbeiten. Geben Sie keinen Rechnernamen an, so hat jeder Rechner die Erlaubnis, mit den angegebenen Rechten auf das Verzeichnis zuzugreifen.
Die Zugriffsrechte legen Sie mit einer von Klammern umgebenen Liste fest, die auf den Rechnernamen folgt. Die wichtigsten Zugriffsrechte sind in der folgenden Tabelle beschrieben.
Rechte | Beschreibung |
|---|---|
| |
ro | Dateisystem nur mit Leserecht exportieren |
rw | Dateisystem mit Schreib- und Leserecht exportieren |
root_squash | Der User root des angegebenen Rechners hat keine für root typischen Sonderrechte auf diesem Dateisystem |
no_root_squash | Root-Zugriffe bleiben erhalten |
Konfiguration des DHCP-Servers
Das so genannte Dynamic Host Configuration Protocol, kurz DHCP, dient dazu, alle wichtigen Einstellungen in einem Netzwerk zentral von einem Server aus zu vergeben. So müssen Sie die einzelnen Arbeitsplätze in Ihrem Netzwerk nicht mehr von Hand konfigurieren. Das spart speziell bei Änderungen der Netzwerkparameter oder einer Erweiterung des LAN viel Arbeit. Zudem beugt es Fehleinstellungen wie etwa doppelt vergebenen IP-Adressen vor.
Ein per DHCP konfigurierter Client verfügt nicht über eine statische IP-Adresse, sondern konfiguriert sich voll und ganz selbstständig nach den Vorgaben des DHCP-Servers. Dabei ist es optional möglich, einen Client an Hand der Hardware-Adresse seiner Netzwerkkarte zu identifizieren und ständig mit den gleichen Einstellungen zur versorgen. Typischerweise vergibt DHCP die Client-Adressen jedoch dynamisch aus einem eigens dafür bestimmten IP-Adressraum.
Neben der IP-Adresse und der zugehörigen Netzmaske teilt der DHCP-Server dem Client üblicherweise den Rechner- und Domainnamen, den zu verwendenden Gateway und die Adressen der Nameserver mit. Darüber hinaus lassen sich auf diesem Weg auch zahlreiche weitere Parameter automatisch konfigurieren, wie etwa ein Zeitserver, der dafür sorgt, dass auf allen Clients die Systemuhr gleich eingestellt ist.
Je nach den Angaben, die Sie im Zug der Installation getroffen haben, ist der DHCP-Server im SuSE Linux Office Server bereits komplett vorkonfiguriert und einsatzbereit. Im Folgenden geben wir Ihnen einen kurzen Einblick in die manuellen Konfigurationsmöglichkeiten, die der DHCP-Server bietet.
Der Daemon dhcpd
Der DHCP-Daemon, kurz dhcpd, bildet sozusagen das Herz eines jeden DHCP-Systems. Er vergibt IP-Adressen und überwacht deren Nutzung, wie in der Datei /etc/dhcpd.conf festgelegt. Dabei handelt es sich um die Konfigurationsdatei des DHCP-Servers, in der Sie alle Einstellungen festlegen.
Im Folgenden sehen Sie ein Beispiel für eine minimale /etc/dhcpd.conf-Datei. Diese kurze Konfigurationsdatei reicht bereits aus, damit der DHCP-Server in Ihrem Netzwerk den Clients IP-Adressen zuweisen kann:
default-lease-time;
max-lease-time 7200;
option domain-name "office";
option domain-name-servers 192.168.0.1;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
option subnet-mask 255.255.255.0;
subnet 192.168.0.0 netmask 255.255.255.0
{
range 192.168.0.2 192.168.0.50;
}
Optionen in /etc/dhcpd.conf
Die Datei /etc/dhcpd.conf gliedert sich in drei Blöcke: Im ersten Abschnitt wird mit default-lease-time definiert, für wie viele Sekunden eine IP-Adresse an einen Client vergeben wird, bis sich dieser um eine "Verlängerung" bemühen muss. Mit max-lease-time legt man fest, wie lange ein Client maximal eine vom Server vergebene Adresse behalten darf, ohne eine Verlängerung beantragen zu müssen. Der zweite Block legt einige grundlegende Netzwerk-Parameter fest.
Im dritten Block definiert man ein Netzwerk samt dazugehöriger Subnetzmaske sowie den an die Clients zu vergebenden IP-Adressbereich. Im unserer obigen Beispielkonfiguration stehen dazu alle Adressen zwischen 192.168.0.1 und 192.168.0.50 zur Verfügung.
Verfügt Ihr Server über mehr als eine Netzwerkkarte, zum Beispiel beim Internet-Zugang über ADSL, so müssen Sie dem DHCP-Daemon noch mitteilen, dass er die Netzwerkkarte verwendet, welche an das lokale Netzwerk angeschlossen ist. Hierzu legen Sie das entsprechende Interface in der Datei /etc/rc.config.d/dhcp.rc.config unter DHCP_INTERFACE fest.
Option | Beschreibung |
|---|---|
| |
domain-name | Default-Domain des Netzwerks |
domain.name-servers | Es können bis zu drei DNS-Server angegeben werden. |
broadcast-address | Legt fest, welche Broadcast-Adresse der anfragende Rechner verwenden soll |
routers | Definiert, wohin Datenpakete geschickt werden sollen, die nicht für das lokale Netzwerk sind. In kleinen Netzen ist der Router meist der Übergang ins Internet. |
subnet-mask | Die an die Clients übergebende Netzmaske |
Starten und Beenden von DHCP
Mit den Kommandos rcdhcpd start beziehungsweise rcdhcpd stop starten und beenden Sie als User root den DHCP-Server auf der Konsole. Der Befehl rcdhcpd restart startet den Server neu, rcdhcpd status zeigt Ihnen den aktuellen Betriebszustand an. Über das Kommando rcdhcpd syntax-check können Sie eine kurze, formale Überprüfung der Konfigurationsdatei /etc/dhcpd.conf vornehmen lassen.
In der zentrale Konfigurationsdatei /etc/rc.config des SuSE Linux Office Server können Sie festlegen, ob der DHCP-Server bei jedem Booten des Rechners gestartet werden soll. Hierzu müssen Sie die Variable START_DHCPD auf yes setzen. Auch hier können Sie alternativ wieder den entsprechenden Editor des Set-up-Tools YaST2 verwenden. Die fragliche Variable finden Sie unter dem Eintrag "Start-Variables, Start-Network".
Statische IP-Adressen
Oft ist es ungeachtet des Einsatzes eines DHCP-Servers unumgänglich, dass der eine oder andere Client über eine feste IP-Adresse verfügt. Wie bereits erwähnt, kann der DHCP-Server bei jeder Anfrage dieselbe Adresse an einen Rechner vergeben. Solche expliziten Adresszuweisungen erhalten Vorrang vor jenen aus dem Pool der dynamischen Adressen. Im Gegensatz zu Letzteren verfallen die festen Zuweisungen nicht, der Client muss sich also um keine laufende "Verlängerung" der Adresse kümmern.
Zur Identifizierung eines Rechners, der eine statische Adresse erhalten soll, verwendet der DHCP-Server die so genannte Hardware-Adresse der Netzwerkkarte. Man nennt diese nach der entsprechenden Schicht im ISO/OSI-Netzwerkmodell auch MAC-Adresse.
Dabei handelt es sich um eine fest definierte Kennung aus sechs Oktetten, wie zum Beispiel 00:EE:45:45:EE:F4. Wenn Sie die Konfigurationsdatei "/etc/dhcpd.conf" um nachfolgende Zeilen ergänzen, erhält der Rechner mit dem DNS-Namen "vertrieb" und der MAC-Adresse 00:EE:45:45:EE:F4 stets die IP-Adresse 192.168.0.2 zugewiesen:
host vertrieb
hardware ethernet 00:EE:45:45:EE:F4;
fixed-address 192.168.0.2;
Weitere grundlegende Informationen zur Arbeitsweise von DHCP-Servern bietet unser Grundlagenartikel zum Dynamic Host Configuration Protocol.
DNS - Domain Name System
Das Domain Name System (DNS) wird benötigt, um die Domain- und Rechneradresse in IP-Adressen aufzulösen. So können Sie zum Beispiel in Ihrem Webbrowser auf den Clients komfortabel über die Adresse http://[servername].[domain] auf das Intranet zugreifen. Ohne Hilfe des Domain Name System müssten Sie stattdessen die IP-Adresse eingeben, wie beispielsweise http://192.168.0.1. Auch beim Surfen im Internet erleichtert einem das DNS das Leben: www.tecChannel.de ist doch um einiges leichter zu merken und einzugeben als 217.110.95.70.
Beim SuSE Linux Office Server ist der Nameserver BIND bereits so weit vorkonfiguriert, dass Sie ihn sofort nutzen können. Wenn Sie schon über eine bestehende Internet-Verbindung verfügen und in der Datei /etc/resolv.conf als Nameserver 127.0.0.1 für "localhost" eintragen, haben Sie im Grunde bereits eine funktionierende Namensauflösung.
BIND führt dann eine Namensauflösung durch die Root-Nameserver durch, was allerdings nicht gerade die schnellste Methode darstellt. Daher sollten Sie in der BIND-Konfigurationsdatei /etc/named.conf unter forwarders die IP-Adresse des DNS-Servers Ihres Internet-Providers eintragen.
Wenn so weit alles funktioniert, so fungiert BIND erst einmal als "Caching-only"-Nameserver. Erst wenn Sie eigene Zonen definieren, arbeitet er als "richtiger" DNS. Beispiele zu entsprechenden Konfigurationen finden Sie auf dem SuSE Linux Office Server unter /usr/share/doc/packages/bind8/sample-config.
BIND starten und stoppen
Als User root können Sie mit rcnamed start und rcnamed stop BIND starten und beenden, rcnamed status gibt den aktuellen Betriebszustand aus. Bei named handelt es sich um den Daemon, welcher den Name-Service zur Verfügung stellt.
Das Kommando rcnamed reload bewirkt das erneute Einlesen der Datei /etc/named.conf, was nach jeder Änderung an dieser Datei nötwendig wird. Alternativ startet rcnamed restart BIND komplett neu. Über die Variable START_NAMED in der Datei /etc/rc.config können Sie festlegen, ob BIND beim Booten des Systems automatisch gestartet werden soll.
Falls Sie eine Einwahlverbindung für den Internet-Zugang nutzen, so beachten Sie, dass BIND beim Starten die Root-Nameserver überprüft. Findet er diese nicht, so löst er unter Umständen keinerlei Anfragen mehr auf, außer solchen für die lokal definierten Zonen.
Auf dem lokalen System können Sie den Nameserver sofort testen. Geben Sie dazu auf der Konsole das Kommando nslookup ein. Als Default-Server sollte der localhost mit der IP-Adresse 127.0.0.1 angezeigt werden.
DNS-Server des Providers eintragen
Um den DNS-Server Ihres Internet-Providers wie oben erwähnt zu verwenden, tragen Sie diesen im Abschnitt options unter forwarders in der Datei /etc/named.conf ein, wie in folgendem Beispiel:
options {
directory "/var/named";
forwarders { 10.11.12.13; 10:11:12:14; };
listen-on { 127.0.0.1; 192.168.0.99; };
allow_query {127/8; 192.168.0/24; };
notify no;
};
Einstellungen in "/etc/named.conf"
Alle Einstellungen für den Namserver BIND nehmen Sie in der Datei /etc/named.conf vor. Dabei unterteilt sich diese Datei grob in zwei Bereiche: den Abschnitt options für allgemeine Einstellungen und die zone-Einträge für einzelne Domains. Zudem können Sie noch einen Bereich logging sowie Einträge vom Typ acl definieren.
Die Zonendaten selbst, die Rechnernamen, IP-Adressen für die zu verwaltenden Domains speichern Sie in separaten Dateien im Verzeichnis /var/named. Kommentare fügen Sie mit # oder // ein. Im Folgenden finden Sie ein Beispiel für eine Konfigurationsdatei, welche den minimalistischsten Ansprüchen genügt:
options {
directory "/var/named";
forwarders { 10.11.12.13; }
notify no;
};
zone "localhost" in {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone"
};
zone "." in {
type hint;
file "root.hint";
};
Eine ausführliche Beschreibung aller BIND-Funktionen würde den Rahmen dieses Artikels sprengen. In den meisten Fällen ist die vorkonfigurierte Datei /etc/named.conf des SuSE Linux Office Server auch vollkommen ausreichend. Weitere Informationen zur Konfiguration erhalten Sie in der Dokumentation unter /usr/share/doc/packages/bind/html/index.html.
Der Fileserver Samba
Mit dem Open-Source-Server Samba lässt sich ein Linux-Rechner zum File- und Printserver für DOS- und Windows-PCs ausbauen. Auch im SuSE Linux Office Server ist Samba bereits installiert und konfiguriert. Dabei stellt Samba den Windows-Clients die privaten Home-Verzeichnisse und das /shared-Directory zur Verfügung. Auch der integrierte Printserver basiert auf dem Software-Paket.
Zu den interessantesten Fähigkeiten des Samba-Servers zählt, dass er die Funktion eines Primary Domain Controller (PDC) in einem Windows-Netzwerk übernehmen kann. Auch der SuSE Linux Office Server ist dahingehend konfiguriert, dass er diese Aufgabe erfüllt.
In diesem Kapitel erläutern wir Ihnen die grundlegende Konfiguration des Samba-Servers über die Datei /etc/smb.conf sowie über das Web-Interface SWAT. Eine vollständige Darstellung aller Funktionen des mächtigen Serverpakets würde allerdings den Rahmen dieses Artikels sprengen.
Recht umfangreiches Informationsmaterial zum Aufbau komplexer Samba-Installationen hält der SuSE Linux Office Server im Verzeichnis /usr/share/doc/packages/samba vor. Auch in unserem Artikel Linux als Windows-Server finden Sie eine ausführliche Beschreibung von Samba. Wenn Sie sich jedoch tiefer in die Möglichkeiten des Servers und seiner Konfiguration einarbeiten möchten, dann empfiehlt sich in jedem Fall die Anschaffung eines entsprechenden Fachbuchs.
Samba starten
Wie bei den anderen in diesem Kapitel beschriebenen Diensten können Sie auch bei Samba festlegen, ob der Server beim Booten des Office Server automatisch gestartet werden soll. Dazu setzen Sie in der Datei /etc/rc.config die Variable START_SMB auf yes. Mit den Befehlen rcsmb start und rcsmb stop starten und beenden Sie als User root den Samba-Server manuell. Das Kommando rcsamba restart startet den Server neu.
Als zentrale Konfigurationsdatei für Samba dient das File /etc/smb.conf. Hier legen Sie sämtliche Einstellungen des Servers fest. Die Datei ist grundsätzlich in zwei Sektionen aufgeteilt. In der Sektion [globals] nehmen Sie alle zentralen Servereinstellungen vor. Unter [share] werden Verzeichnisse benutzerabhängig freigegeben sowie Datei- und Verzeichnisrechte gesetzt, die so genannten "Shares". Wenn ein bestimmter Wert in der [share]-Sektion für alle Shares gelten soll, können Sie diesen in die [globals]-Sektion übernehmen.
Sicherheitsstufen unter Samba
Jeder Zugang zu einem Share kann dabei mit einem Passwort geschützt werden. Samba, beziehungsweise das verwendete Protokoll SMB, stellen hierfür drei Möglichkeiten zur Verfügung:
Share Level Security: Jedem Share wird ein Passwort zugeordnet. Jeder Benutzer, der das Passwort kennt, kann auch auf den Share zugreifen.
User Level Security: Jeder User muss sich beim Server mit Benutzernamen und Passwort anmelden. Der Server gewährt beziehungsweise verweigert dann abhängig von den für den betreffenden Benutzer festgelegten Rechten den Zugriff auf bestimmte Shares.
Server Level Security: Samba gibt gegenüber den Clients vor, mit User Level Security zu arbeiten. Tatsächlich übergibt der Server jedoch alle Passwortanfragen an einen anderen User-Level-Server, welcher die eigentliche Authentifizierung übernimmt.
Die Unterscheidung zwischen den einzelnen Sicherheitsstufen gilt für den gesamten Server. Es ist nicht möglich, einzelne Shares mit Share Level Security zu schützen, andere mit User Level Security.
Konfiguration über den Browser
Neben der Konfiguration von Samba über YaST2 beziehungsweise die Konfigurationsdatei /etc/smb.conf können Sie den SMB-Server auch über den Webbrowser administrieren. Das Programm SWAT (Samba Web Administration Tool) stellt ein Web-Interface zur Verfügung, mit dem Sie die zentrale Konfigurationsdatei bequem editieren können.
Um das Samba Web Administration Tool zu nutzen, öffnen Sie im Webbrowser auf dem SuSE Linux Office Server die Adresse http://localhost:901. Standardmäßig stellt der Server nach der Installation auch bereits ein entsprechendes Icon auf dem KDE-Desktop des Administratorkontos zur Verfügung. Beim Autorisierungsdialog müssen Sie sich als User root anmelden, da Ihnen ansonsten die nötigen Rechte zum Ändern der Datei fehlen.
Beachten Sie, dass SWAT auch in den Dateien /etc/inetd.conf sowie /etc/services aktiviert sein muss, damit Sie es nutzen können. Nach der Installation des SuSE Linux Office Server ist dies jedoch standardmäßig bereits der Fall.
Das Samba Web Administration Tool können Sie auch von einem der Clients in Ihrem lokalen Netzwerk aus aufrufen. Hierzu geben Sie im Webbrowser als Adresse http://[servername].[domain]:901 ein, wie zum Beispiel http://server1.office:901. Auch dazu müssen Sie sich wieder als User root mit dem entsprechenden Passwort anmelden.
Ausblick
In den letzten beiden Workshop-Teilen haben wir uns mit maßgeschneiderten Konfigurationen der Serverkomponenten für das Internet und das lokale Netz beschäftigt.
In beiden Netzen aber lauern Gefahrenquellen für unseren frisch aufgesetzten Server, speziell über die Internet-Verbindung nehmen sich böswillige Zeitgenossen gern schlecht geschützter Maschinen an.
Daher wenden wir uns in der nächsten Folge unserer Serie den Sicherheitsaspekten beim Betrieb des Servers und ganz speziell der Konfiguration der Firewall zu. (jlu)
Teil | Überschrift |
|---|---|
| |
Teil 1 | |
Teil 2 | |
Teil 3 | |
Teil 4 | |
Teil 5 | |
Teil 6 | |
Teil 7 | NIS/NFS, DHCP, DNS und Samba |
Teil 8 | Security und Firewall |
Teil 9 | Server-Fernwartung mit Cygwin |