Последнее обновление цен: 31 января 2021 г., 17:43

Обзор беспроводного роутера Totolink A3002RU с поддержкой 802.11ac и гигабитными портами

Компания Totolink, образованная в Южной Корее более двадцати лет назад, не очень широко известна на отечественном рынке, однако ее продукты присутствуют на нем уже несколько лет. В ассортименте производителя представлены беспроводные роутеры, точки доступа, повторители, беспроводные адаптеры, оборудование Powerline, коммутаторы и другие решения. Рассматриваемый в статье роутер Totolink A3002RU нельзя назвать новинкой — он продается уже пару лет.

Однако благодаря сочетанию гигабитных сетевых портов и поддержки 802.11ac устройство вполне интересно и сегодня. Тем более, что его стоимость существенно ниже продукции наиболее известных брендов, а производитель продолжает выпускать обновления прошивок. Так что если вам требуются быстрые беспроводные и проводные сети, но особых требований к возможностям прошивки нет, а бюджет ограничен — возможно, именно данная модель может подойти.

Комплект поставки и внешний вид

Роутер поставляется в обычной картонной коробке средних размеров. Оформление преимущественно черно-белое, но есть несколько ярких вставок. На коробке представлена информация о модели, включая внешний вид, технические характеристики и ключевые особенности. В целом все как обычно в данном сегменте. Преимущественно используется английский язык. Перевод на несколько языков, включая русский, есть только для описания модели.

В комплект поставки входит внешний блок питания (12 В 2 А), сетевой патч-корд и листовка-инструкция. Немного жаль, что блок питания черного цвета, но для данного ценового сегмента это не существенно. На сайте компании представлены обновления прошивки, техническое описание и электронная версия краткой инструкции на русском языке.

Корпус выполнен из не маркого белого матового пластика. Габаритные размеры составляют 180×130×27 мм без учета кабелей и антенн. Также отметим использование высоких резиновых ножек. Крепление на стену тоже предусмотрено — портами вниз или вверх. Кроме того, нижняя панель имеет логотип производителя и отверстия пассивной вентиляции.

Фирменная особенность дизайна роутеров Totolink — размещение антенн на верхней панели. Они имеют две степени свободы и длину около 160 мм. Всего антенн четыре — по две на каждый диапазон (2,4 и 5 ГГц).

Также сверху мы видим блок небольших индикаторов оранжевого цвета, установленных за темной вставкой. Большую часть оставшейся поверхности занимает решетка вентиляции. Не забыли и про напечатанный логотип производителя.

На переднем торце находится кнопка подключения беспроводных устройств по технологии WPS. На боковых торцах есть только решетки вентиляции и текст с информацией по подключению к Web-интерфейсу устройства.

На задней панели расположен вход блока питания и выключатель, скрытая кнопка сброса настроек, порт USB 2.0, один порт WAN и четыре порта LAN. Об активности портов можно судить по индикаторам на верхней панели.

В целом по внешнему виду устройство производит приятное впечатление и представляется достаточно практичным как по дизайну, так и по материалам.

Аппаратные характеристики

Роутер использует уже немолодую, но популярную платформу, разработанную компанией Realtek. Здесь применяется процессор Realtek RTL8197DN с одним ядром, работающим на частоте 660 МГц. Объем оперативной памяти составляет 64 МБ, для прошивки установлено 8 МБ флэш-памяти. Беспроводные точки доступа реализованы на микросхемах Realtek RTL8812AR (5 ГГц, протоколы 802.11a/n/ac, две антенны, до 867 Мбит/с) и Realtek RTL8192ER (2,4 ГГц, протоколы 802.11b/g/n, до 300 Мбит/с). Поскольку центральный процессор имеет встроенный коммутатор только с поддержкой 100 Мбит/с, в роутере установлен дополнительный внешний коммутатор Realtek RTL8367RB, что позволило реализовать 1 Гбит/с на портах WAN и LAN. Что касается порта USB 2.0, то обслуживающий его контроллер находится в центральном процессоре.

Радиаторов или экранов на микросхемах нет. При интенсивной работе корпус роутера немного нагревается. Кабели от антенн припаяны к плате. Присутствует консольный порт, через который можно получить доступ к консоли встроенной операционной системы.

Тестирование роутера проводилось с прошивкой версии V3. 2.4-B20190312.1620, установленной в предоставленном на тест устройстве.

Формально для использованной аппаратной платформы есть и альтернативные прошивки, однако, для конкретной рассматриваемой модели найти что-то актуальное непросто.

Настройка и возможности

Интерфейс роутера представлен на русском, украинском и английском языках. Дизайн полной версии интерфейса стандартный с деревом меню в левой части. Дополнительно есть кнопки перезагрузки и вызова справочной системы (последняя, правда, не работала).

Для начала работы может быть достаточно единственной страницы «Простая настройка», где выбираются параметры интернет-подключения, имена и пароли беспроводных сетей, а также настраивается IPTV. Но в полную версию тоже стоит заглянуть в любом случае.

На первой странице «Состояние» полной версии интерфейса представлена информация о текущем состоянии интерфейсов роутера, а также некоторые данные о потреблении ресурсов, в частности загрузка процессора и оперативной памяти.

Как и большинство подобных устройств, данная модель может использоваться не только в режиме беспроводного роутера, а также как точка доступа, мост (адаптер) и повторитель беспроводной сети. Кроме того, предусмотрена работа в режиме роутера с подключением к провайдеру по беспроводной сети. Учитывая невысокую стоимость данной модели, дополнительные режимы вполне могут быть востребованы.

В разделе «Основные настройки» находятся страницы с параметрами интерфейсов WAN и LAN. Для подключения к интернету поддерживаются режимы IPoE, PPPoE, PPTP и L2TP. При этом предусмотрена возможность изменения MAC-адреса порта, включение сервисов IGMP, а также разрешение доступа к настройкам со стороны внешнего интерфейса. Для режимов с аккаунтом пользователя можно использовать постоянное подключение, отключение от сервера по запросу или ручное управление. Клиент DDNS с поддержкой трех серсвисов настраивается в разделе «Техническое обслуживание».

Отдельная группа страниц посвящена настройкам протокола IPv6. Несмотря на его преимущества, этот вариант организации сетей все еще остается экзотическим и мало где встречается на практике в домашнем сегменте.

Для сегмента локальной сети также все знакомо — настройка собственного адреса, выбор диапазона адресов для раздачи клиентам по DHCP, назначение фиксированных пар MAC-IP. Посмотреть текущие назначения можно на странице «Список клиентов». На ней же приводится информация о таблице ARP, что может пригодиться при диагностике.

Технология VLAN используется в данном случае преимущественно для реализации трансляций IPTV с тегированным на стороне провайдера трафиком. Но есть и расширенный вариант настройки, где можно самостоятельно выбрать порты и интерфейсы.

Роутер поддерживает протоколы динамической маршрутизации и позволяет посмотреть текущее состояние таблицы маршрутизации.

Настройки беспроводных точек доступа для диапазонов 2,4 ГГц и 5 ГГц находятся в разных группах и мало отличаются друг от друга.

На первой странице находятся основные параметры — имя беспроводной сети и пароль. Кроме того, здесь можно ограничить число клиентов и установить лимиты скоростей.

Для достижения оптимального результата стоит заглянуть и на страницу «Дополнительные настройки». Здесь можно выбрать режим, номер и ширину канала, установить дополнительные опции точек доступа.

В прошивке роутера предусмотрено использование технологий WPS и WDS, фильтр MAC-адресов клиентов (черный или белый список, максимум 20 записей), программирование расписания работы точек доступа (до десяти правил из дня недели и времени начала и окончания работы).

Кроме основных точек доступа пользователь может организовать до четырех гостевых в каждом диапазоне. Для них указывается собственное имя, пароль, ограничения скоростей. При необходимости можно разрешить гостям доступ к основной локальной сети.

Производители недорогих роутеров на относительно слабых платформах продолжают включать в прошивки сервис управления полосой пропускания (QoS). Однако, на наш взгляд, в бюджетном сегменте это редко бывает востребовано, а многие реализации существенно снижают общую производительность роутеров. В частности, у рассматриваемой модели можно запрограммировать до десяти правил для MAC- или IP-адресов с указанием гарантированных минимумов или возможных максимумов скоростей.

Встроенный «Межсетевой экран» поддерживает несколько вариантов ограничения доступа. На странице «Фильтр по MAC-адресам» можно реализовать белый или черный список клиентов для доступа в интернет. «Фильтр по IP-адресам» позволяет закрыть для определенных клиентов локальной сети сервисы в интернете (по номерам портов). «Фильтр по URL» блокирует сайты по имени домена. Плюс здесь есть пункт отключения межсетевого экрана SPI. Заметим, что в разделе «Техническое обслуживание» дополнительно можно настроить функцию защиты от DoS атак.

В этом же разделе находятся страницы для настройки удаленного доступа к сервиса локальной сети — перенаправления портов, DMZ и SIP ALG. Ничего необычного здесь нет. Заметим только, что в правилах трансляции портов можно использовать разные номера для внешних и внутренних портов, но диапазоны не поддерживаются.

Роутер оборудован одним портом USB 2.0, который может использоваться для подключения внешних накопителей. Для них поддерживаются файловые системы NTFS, FAT32 и exFAT. Доступ к файлам осуществляется по протоколам SMB и FTP. Для данных протоколов можно указать только по одному аккаунту с полными правами. Несколько странно, что оба протокола работают только из локального сегмента сети. Через интернет доступ к серверу FTP нам получить не удалось. Кроме того, можно включить сервер DLNA для трансляции медиаконтента на совместимые приемники.

Завершает настройки самая многочисленная группа страниц — «Техническое обслуживание». В нем можно найти привычные для данного типа оборудования функции — изменение пароля администратора (имя пользователя, кстати, тоже можно поменять), обновление прошивки (в ручном режиме из файла), сохранение/восстановление/сброс настроек, синхронизация времени, журнал системных событий (поддерживается отправка на сервер syslog), тестовые утилиты ping и traceroute. Из дополнительных опций отметим ведение статистики трафика в пакетах по интерфейсам, настройку расписания перезагрузки, протокол контроля и управления со стороны провайдера TR-069.

По набору функций и возможностей встроенное программное обеспечение сложно назвать уникальным. В прошивки есть большинство наиболее востребованных потребителями сервисов, но не более того. При этом многие дополнительные функции реализованы только на базовом уровне. Из потенциально наиболее интересных отметим гостевые сети и расписание работы Wi-Fi.

Тестирование

Перед комментированием результатов тестов, напомним конфигурацию устройства. Использованный в роутере процессор не поддерживает штатно гигабитные проводные порты, поэтому для их реализации используется отдельный сетевой коммутатор. Радиоблоки здесь также внешние и поддерживают скорости подключения до 300 Мбит/с в диапазоне 2,4 ГГц и до 867 Мбит/с в диапазоне 5 ГГц с протоколом 802.11ac. А вот контроллер USB находится именно в главном процессоре.

Традиционно начнем с задачи маршрутизации трафика в сеть Интернет при разных типах подключений к провайдеру.

Как мы видим, использование внешнего коммутатора не позволяет в режиме полного дуплекса перешагнуть за 1 Гбит/с. Конечно для бюджетного сегмента эта особенность представляется незначительной, но отметить ее стоит. Что касается скорости в целом, то в режимах IPoE и PPPoE можно рассчитывать на полный гигабит, а в PPTP и L2TP — примерно на 300-450 Мбит/с максимум.

Если сочетание недорогого роутера и очень быстрого тарифа представляется редким, то внутри локальной сети все-таки хотелось бы иметь полноценный обмен данными без ограничений. Так что мы провели дополнительный тест между двумя клиентами, подключенными к портам 2 и 3 коммутатора роутера. Опасения не подтвердились — в этой схеме пользователь получит не только «честный гигабит» при передаче данных в одну сторону, но и дуплекс на уровне 1800 Мбит/с.

Проверили мы и работу функции QoS — при активации данного сервиса и наличии хотя бы одного правила, максимальные скорости маршрутизации в режиме IPoE снижаются примерно до 300 Мбит/с. Что еще раз показывает, что управление трафиком на недорогих моделях обычно не имеет практического смысла.

Тестирование максимальных возможностей беспроводных точек доступа проводилось совместно с адаптером Asus PCE-AC68 класса AC1900 (600+1300). Компьютер с ним располагался на расстоянии около четырех метров от роутера в пределах одной комнаты.

В диапазоне 2,4 ГГц скорость соединения составляла ожидаемые 300 Мбит/с, так что показанные 180 Мбит/с реальной скорости можно оценить положительно. Использование 802.11ac в диапазоне 5 ГГц позволяет получить примерно 400 Мбит/с, что в целом тоже соответствует работе с парой антенн и скоростью подключения 867 Мбит/с.

Но большее значение для потенциальных покупателей имеет качество зоны покрытия, которое мы проверили совместно со смартфоном Zopo ZP920+. Он работает на базе платформы Mediatek и оборудован беспроводным контроллером с одной антенной и поддержкой 802.11ac. Устройство размещалось в трех точках квартиры — в одной комнате с роутером на расстоянии четырех метров, за одной стеной на четырех метрах и через две стены и примерно на восьми метрах.

Учитывая, что и роутер и смартфон способны работать на 5 ГГц, для данной конкретно пары тесты в 2,4 ГГц имеют мало практического смысла. Однако если говорить в целом о работе с клиентами на 2,4 ГГц, которых сегодня все еще достаточно много, особенно учитывая позиционирование роутера, то картина не очень интересная. Максимально можно получить около 40 Мбит/с при работе в одной комнате. При этом удаление во вторую точку снижает скорость на четверть, а в третьей точке она падает в три-четыре раза. Вероятно в данной модели роутера производитель не стал устанавливать дополнительные усилители, как мы видели в других устройствах.

Использование диапазона 5 ГГц и протокола 802.11ac позволяет заметно увеличить производительность беспроводной связи — до 180 Мбит/с и более. Однако, как и в диапазоне 2,4 ГГц, реальная скорость заметно снижается при удалении смартфона от роутера.

В целом по тестам беспроводных точек доступа можно сказать, что в хороших условиях на небольших расстояниях они обеспечивают заявленную производительность, однако зона покрытия, где можно иметь большую скорость, невелика.

Последний тест, который мы провели с данным роутером — проверка скорости при работе в сценарии сетевого накопителя. Для этого к порту USB 2.0 роутера подключался внешний накопитель на базе SSD, на котором было несколько разделов с разными файловыми системами. Кроме работы по проводу, был протестирован и беспроводной клиент. Тест заключался в измерении скорости передачи файла объемом 1 ГБ.

Только с самой «легкой» файловой системой FAT32 можно рассчитывать на скорости чуть более 10 МБ/с при работе по кабелю. Если же клиент хочет получить доступ к файлам по Wi-Fi, то можно рассчитывать на 4-8 МБ/с в зависимости от протокола и направления передачи. К сожалению, в этом тесте устройство не может показать даже возможности USB 2.0, так что с практической точки зрения использовать данный сценарий имеет смысл только для файлов небольших объемов.

Заключение

Беспроводной роутер Totolink A3002RU по формальным техническим характеристикам может считаться конкурентом решений известных производителей, причем конкурентом существенно более доступным. Он имеет гигабитные проводные порты и поддержку беспроводных коммуникаций в диапазоне 5 ГГц с протоколом 802.11ac. Так что если вам нужно обеспечить современный смартфон или планшет быстрым стабильным доступом к сети в домашних условиях — данная модель вполне подойдет. Также устройство можно использовать в качестве дополнительной точки доступа или медиаадаптера.

Из особенностей продукта отметим достаточно привлекательный и качественно изготовленный корпус, базовый набор возможностей встроенного программного обеспечения, не балующий дополнительными сервисами, и наличие порта USB.

С точки зрения производительности в задачах маршрутизации устройство хорошо себя показало в режимах IPoE и PPPoE, хотя и для тарифов до 300 Мбит/с с PPTP или L2TP оно тоже подойдет. Беспроводные точки доступа роутера показывают высокую скорость работы в пределах одной комнаты, но при усложнении условий выступают уже не очень хорошо. Сценарий доступа к файлам на внешнем накопителе в данной модели сложно назвать востребованным.

Debian 10: Установка и настройка Samba Active Directory

Актуализировал тему по настройке Samba 4 в качестве контроллера домена. Ранее я разворачивал Samba в Docker, но в версии 4.11 возникли нюансы с диапазоном пробрасываемых портов со стороны iptables, поэтому использовал классическую установку.

Перед началом надо кратко и просто пояснить основные моменты: что, зачем и почему для базового понимания в процессе настройки.

Службы каталогов

В любой организации наступает период, когда появляется множество клиентов, серверов, сервисов – всё это требует сложности администрирования: разделение прав, создание\удаление учетных записей. Чем больше народу приходит в компанию, тем больше болит голова у админа. Очевидным решением становится использование службы каталогов – средства иерархического представления ресурсов с централизованным управлением. К сведению, первые службы каталогов появились ещё в 1984 году и продолжили своё развитие в различных вариациях. А когда Microsoft выпустила NTDS  (в дальнейшем переименован в Active Directory), то данный инструмент стал негласным стандартом и одним из самых распространенных в своём классе.

LDAP – протокол, который лёг в основу служб каталогов и используется в различных LDAP-совместимых реализациях служб каталогов. К примеру, таковыми являются (самые популярные и известные):

• Active Directory;
• OpenLDAP;
• Samba Domain;
• И прочие другие коммерческие.

Все записи LDAP представляются атрибутами в следующем виде:

cn=petrov,ou=office,dc=example,dc=com

где “petrov” – уникальная запись в Object Unit “office” домена example.com

Samba как DC

Но за всё надо платить, ибо самый популярный для таких целей Windows Server с Active Direcory на борту не бесплатный, а потому в последнее время с развитием пакета программ Samba 4 есть возможность использования Samba в качестве контроллера домена с применением групповых политик. О Samba 4 и последующей настройке и будет дальнейшее содержание данной статьи.

По своей сути Samba 4 есть Open-Source реализация Active Directory и, согласно документации, является стабильным вариантом применения в качестве домен-контроллера в production-среде.

Одним из минусов является отсутствие поддержки репликации Sysvol через DFS-R (условно говоря, sysvol – это директория с параметрами групповых политик, сценариев входа\выхода из системы и при использовании нескольких контроллеров домена, должна быть реплицирована на все имеющиеся контроллеры в домене). Samba пока что так не умеет, а потому есть решения с использованием rsync или более сложные и гибкие варианты. Но об этом в данном материале рассказано не будет.

В ранних версиях было ограничение размера БД до 4 гб в Samba при использовании в качестве контроллера домена, но данный вопрос был решён в версии 4.9 – реализован бэкенд LDB (экспериментальный), основанный на библиотеке LMDB, что в итоге позволяет создавать базы данных объемом свыше 4 гб. Для включения данного параметра нужно использовать ключ –backend-store=mdb. В данной статье, дабы не усложнять материал, обойдемся без данного ключа.

Перед установкой

Наименование домена

Перед началом инсталляции необходимо определиться с именем сервера и домена. В рамках данной статьи сервер с Samba на борту будет иметь полное имя (FQDN) dc0.ad.rmn-lux.ru, а сам домен – ad.rmn-lux.ru.

Кратко поясню, почему выбран именно такой формат именования.

• Никаких названий а-ля PDC или BDC использовать не стоит – это пережитки прошлого;
• Также не стоит использовать test.local и т.п. домены:
  • подобные имена противоречат rfc 6762
  • для такого домена не получится получить публичный TLS-сертификат
  • такое имя будет недоступно из внешней сети
• Можно было бы назвать AD домен также, как основной домен сайта. Для примера, в таком случае имя домена было бы как и домен моего сайта – it-lux. ru. Это правильно, но в таком случае пришлось бы следить за публичной и внутренней зоной DNS, что не всегда удобно, т.к. может возникнуть рассинхрон.
• В качестве имени можно выбрать домен из другой зоны, который не будет конфликтовать с основным доменом. В моём случае это может быть, например, it-lux.online или аналогичный домен в другой доменной зоне.

Исходя из вышесказанного, наиболее правильным, как мне кажется, использовать поддомен ad.rmn-lux.ru для названия домена AD, т.к. это будет консолидировано в рамках одного домена.

AD Schema

По своей сути схема включает в себя описания всех объектов, хранящихся в службе каталогов (пользователи, группы и т.д.)

Информация с оф. сайта Samba по поддержке AD схем:

Samba Version	Highest Supported Schema Version
4. 11 and later	69
4.5 – 4.10	69 *
4.0 – 4.4	47

Последняя стабильно поддерживаемая AD схема в Samba на момент написания данного материала – 69, а подходящая версия Samba для этого – 4.11 и выше.

Одним из нюансов является то, что в стабильных репозиториях Debian 10 доступна Samba версии только 4.9. Но хотелось бы использовать последние доступные возможности схемы домена, поэтому я на свой страх и риск подключил тестовые репозитории и произвёл дальнейшую установку Samba 4.11.3 из них:

deb http://ftp.ru.debian.org/debian/ testing main contrib non-free
deb-src http://ftp.ru.debian.org/debian/ testing main contrib non-free

deb http://ftp.ru.debian.org/debian/ testing-updates main contrib non-free
deb-src http://ftp.ru.debian.org/debian/ testing-updates main contrib non-free

deb http://security.debian.org/ testing/updates main contrib non-free
deb-src http://security. debian.org/ testing/updates main contrib non-free

DNS

Для домена необходимо использование DNS-сервера. Я остановился на распространённом варианте – использование встроенного в Samba DNS Internal. Допустимо использование BIND, но в рамках данной статьи его применение рассматриваться не будет.

Samba Internal DNS имеет следующие недостатки:

• нельзя использовать как кеширующий сервер
• не поддерживает рекурсивные запросы
• нет shared-key transaction signature (TSIG)
• нет зоны-заглушки
• не поддерживает zone transfers
• нет Round Robin балансировки между DC’s

Не смотря на вышеперечисленное, на практике это не доставляет проблем.

Подразумевается, что в сети, где разворачивается Samba AD, уже используется один или более DNS-серверов (например, тот же BIND, который не связан с Samba или внешние гугл\яндекс сервера). На этот DNS-сервер будут перенаправляться запросы клиентов Samba, т. е. он будет выбран в качестве forwarder.

Настройка hosts

Также сервер dc0.ad.rmn-lux.ru должен иметь статический IP-адрес и файл /etc/hosts со следующим содержимым:

127.0.0.1     localhost
172.16.0.16     dc0.ad.it-lux.ru     dc0

Удаление существующих файлов

Для корректной установки переместить исходные конфиги во временную директорию, чтобы при создании домена данные файлы были сгенерированы заново:

mv /etc/samba/smb.conf /tmp && mv /etc/krb5.conf /tmp

Запущенные экземпляры Samba и сервисов

Перед началом установки надо проверить, что не запущена samba и её сервисы после установки пакетов:

ps ax | egrep "samba|smbd|nmbd|winbindd"

Если под фильтр попадает что-то из запущенного, нужно остановить:

systemctl stop samba-ad-dc smbd nmbd winbind

Скрыть юниты, чтобы они не могли быть запущены:

systemctl mask samba-ad-dc smbd nmbd winbind

И отключить:

systemctl disable samba-ad-dc smbd nmbd winbind

Установка

Для своих серверов я всегда использую Centos, но здесь пришлось сделать исключение и выбрать Debian, т. к. Samba, доступная из основных пакетов в Centos, не может выступать в роли AD.

Вариантов установки на Centos было несколько: собрать из пакетов (что на продуктивном сервере совсем некошерно) или установить из сторонних репозиториев (например, tissamba), но решил попробовать Debian, т.к. не хотелось искать обходные пути.

Но и с Debian оказался нюанс, т.к. в основных стабильных репозиториях не было нужной мне версии. Тем не менее, вариант установки из официальных репозиториев, пусть и тестовых, меня более чем устроил.

Каждый волен выбирать тот вариант установки и тот дистрибутив, который подходит для той или иной задачи, но стоит учесть будущие возможные обновления и связанные с этим проблемы при использовании сборки из исходников или чужого репозитория, который не будет работать, например.

Зависимости, необходимые для Samba AD в Debian:

apt-get install acl attr autoconf bind9utils bison build-essential \
  debhelper dnsutils docbook-xml docbook-xsl flex gdb libjansson-dev krb5-user \
  libacl1-dev libaio-dev libarchive-dev libattr1-dev libblkid-dev libbsd-dev \
  libcap-dev libcups2-dev libgnutls28-dev libgpgme-dev libjson-perl \
  libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
  libpopt-dev libreadline-dev nettle-dev perl perl-modules pkg-config \
  python-all-dev python-crypto python-dbg python-dev python-dnspython \
  python3-dnspython python-markdown python3-markdown \
  python3-dev xsltproc zlib1g-dev liblmdb-dev lmdb-utils

В оф. документации указаны пакеты python-gpgme python3-gpgme для зависимостей, но в Debian 10 его больше нет, так что его я не устанавливал.

Настройка домена:

Для установки Samba в Debian 10 нужны следующие пакеты:

apt-get install acl attr samba samba-dsdb-modules samba-vfs-modules winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user

Напоминаю, что мне нужна была версия 4.11, поэтому после установки нужно убедиться, что будет использоваться пакет нужной версии:

samba-tool --version

4.11.3-Debian

Теперь непосредственно настройка домена:

samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=AD.IT-LUX.RU --domain=AD --adminpass=Password

Указывается роль – domain controller, использование необходимого rfc2307, согласно оф. документации – для возможности хранения атрибутов Unix в AD, встроенный DNS, имя домена – обязательно заглавными буквами и NetBIOS имя домена одним словом без точки, а также указание админского пароля.

Теперь надо сконфигурировать /etc/resolv.conf, чтобы в качестве резолвера использовался DNS из Samba (по идее, можно было бы сделать до создания домена):

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto enp0s3
allow-hotplug enp0s3
iface enp0s3 inet static
address 172.16.0.16/24
gateway 172.16.0.1
dns-nameservers 127.0.0.1

/etc/resolv.conf:

search ad.it-lux.ru
nameserver 127.0.0.1

На всякий случай уточню, что файл resolve.conf может затираться NetworkManager`ом или установленной утилитой resolvconf после рестарта, стоит это иметь ввиду.

Kerberos

Kerberos – это сетевой протокол, который будет использоваться для аутентификации.

В самом начале выпиливался стандартный конфиг kerberos – теперь нужно вернуть его назад с новыми настройками, сделав следующее:

cp /var/lib/samba/private/krb5. conf /etc/krb5.conf

И проверить его содержимое (на всякий случай):

cat /etc/krb5.conf

[libdefaults]
        default_realm = AD.IT-LUX.RU
        dns_lookup_realm = false
        dns_lookup_kdc = true

После успешного создания домена (не должно быть никаких ошибок при выполнении), нужно вернуть настройки юнита самбы, т.к. делался mask. Сейчас же при старте возникает такая ошибка:

systemctl enable samba-ad-dc

Synchronizing state of samba-ad-dc.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable samba-ad-dc
Failed to enable unit: Unit file /etc/systemd/system/samba-ad-dc.service is masked.

Симлинк, ведущий в /dev/null, нужно удалить и выполнить перезагрузку сервисов systemd:

rm /etc/systemd/system/samba-ad-dc.service && systemctl daemon-reload

И запустить самбу, которая подтянет уже всё остальное, что ей нужно:

systemctl enable --now samba-ad-dc

Правка конфигурационного файла Samba

После установки конфиг выглядит примерно так:

# Global parameters
[global]
        dns forwarder = 127. 0.0.1
        netbios name = DC0
        realm = AD.IT-LUX.RU
        server role = active directory domain controller
        workgroup = AD-IT-LUX
        idmap_ldb:use rfc2307 = yes

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/ad.it-lux.ru/scripts
        read only = No

Но по своему опыту скажу, что штатный конфиг нужно поправить, местами упростив настройки. Ниже кратко опишу опции конфигурационного файла /etc/samba/smb.conf:

# Global parameters
[global]
        dns forwarder = 127.0.0.1
        netbios name = DC0
        realm = AD.IT-LUX.RU
        server role = active directory domain controller
        workgroup = AD-IT-LUX
        idmap_ldb:use rfc2307 = yes

        bind interfaces only = yes # слушать только на указанных интерфейсах
        interfaces = 127.0.0.1 172.16.0.16

        dns forwarder = 8.8.8.8 # вышестоящий DNS-сервер
        allow dns updates = nonsecure and secure # разрешает nonsecure  запросы

        ldap server require strong auth = no # необходимо для авторизации
        domain master = yes # Для указания того, что данный КД является мастером при наличии других 
        local master = yes
        preferred master = yes

        vfs objects = acl_xattr # для настройки share используя ACL на Unix.  По умолчанию включен, но всё равно прописал для наглядности
        map acl inherit = yes
        store dos attributes = yes

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/ad.it-lux.ru/scripts
        read only = No

После внесения изменений в конфиг, нужно выполнить рестарт сервиса:

systemctl restart samba-ad-dc

Проверка настроек

Теперь, когда всё настроено, нужно выполнить ряд проверок, чтобы убедиться в корректной работе всех компонентов Samba.

Общая проверка выполняется командой testparm:

testparm

Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_ACTIVE_DIRECTORY_DC

Press enter to see a dump of your service definitions

# Global parameters
[global]
        allow dns updates = nonsecure and secure
        bind interfaces only = Yes
        dns forwarder = 8. 8.8.8
        domain master = Yes
        interfaces = 127.0.0.1 172.16.0.16
        ldap server require strong auth = No
        passdb backend = samba_dsdb
        preferred master = Yes
        realm = AD.IT-LUX.RU
        server role = active directory domain controller
        workgroup = AD-IT-LUX
        rpc_server:tcpip = no
        rpc_daemon:spoolssd = embedded
        rpc_server:spoolss = embedded
        rpc_server:winreg = embedded
        rpc_server:ntsvcs = embedded
        rpc_server:eventlog = embedded
        rpc_server:srvsvc = embedded
        rpc_server:svcctl = embedded
        rpc_server:default = external
        winbindd:use external pipes = true
        idmap_ldb:use rfc2307 = yes
        idmap config * : backend = tdb
        map acl inherit = Yes
        map archive = No
        vfs objects = acl_xattr


[sysvol]
        path = /var/lib/samba/sysvol
        read only = No


[netlogon]
        path = /var/lib/samba/sysvol/ad.it-lux.ru/scripts
        read only = No

Посредством команд hosts и wbinfo можно провести ряд проверок, результат выполнения которых должен быть без ошибок:

host -t A dc0. ad.it-lux.ru
dc0.ad.it-lux.ru has address 172.16.0.16

host -t A ad.it-lux.ru
ad.it-lux.ru has address 172.16.0.16

wbinfo -t
checking the trust secret for domain AD-IT-LUX via RPC calls succeeded

wbinfo -p
Ping to winbindd succeeded

wbinfo -P
checking the NETLOGON for domain[AD-IT-LUX] dc connection to "dc0.ad.it-lux.ru" succeeded

Прочие проверки, которые могут пригодиться для отладки:

Проверка БД Samba
samba-tool dbcheck

Исправление ошибок с БД
samba-tool dbcheck --fix

Проверка прав доступа к sysvol
samba-tool ntacl sysvolcheck

При наличии ошибок с sysvol - исправление
samba-tool ntacl sysvolreset

Администрирование

Если все проверки пройдены и никаких ошибок не возникло, можно приступать к использованию домена.

Можно посмотреть общую информацию о домене:

samba-tool domain info dc0.ad.it-lux.ru

Forest           : ad.it-lux.ru
Domain           : ad.it-lux.ru
Netbios domain   : AD-IT-LUX
DC name          : dc0. ad.it-lux.ru
DC netbios name  : DC0
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name

Проверить список дефолтных юзеров через wbinfo или samba-tool:

wbinfo -u

AD-IT-LUX\administrator
AD-IT-LUX\guest
AD-IT-LUX\krbtgt

samba-tool user list

И список групп:

wbinfo -g

AD-IT-LUX\cert publishers
AD-IT-LUX\ras and ias servers
AD-IT-LUX\allowed rodc password replication group
AD-IT-LUX\denied rodc password replication group
AD-IT-LUX\dnsadmins
AD-IT-LUX\enterprise read-only domain controllers
AD-IT-LUX\domain admins
AD-IT-LUX\domain users
AD-IT-LUX\domain guests
AD-IT-LUX\domain computers
AD-IT-LUX\domain controllers
AD-IT-LUX\schema admins
AD-IT-LUX\enterprise admins
AD-IT-LUX\group policy creator owners
AD-IT-LUX\read-only domain controllers
AD-IT-LUX\dnsupdateproxy

samba-tool group list

А также список компьютеров (пока что только один КД):

samba-tool computer list

DC0$

Создание пользователя:

samba-tool user create newuser

Задать ему пароль:

samba-tool user setpassword newuser

Деактивировать пользователя:

samba-tool user disable newuser

Прочие команды можно посмотреть, выполнив:

samba-tool --help

через samba-tool также настраивается DNS.

Настройку и управление также можно осуществлять посредством RSAT, т.е. классическими виндовыми оснастками, но мне больше нравится консольный вариант непосредственно с самого сервера Samba.

Бэкап

В официальной документации подробно всё описано, поэтому первоначально стоит ознакомиться с информацией там.

После настройки благоразумно будет обеспечить резервное копирование Samba. Есть несколько типов резервирования: “Online” и “Offline”.

Online делает копию работающей базы DC:

samba-tool domain backup online --targetdir=<output-dir> --server=<DC-server> -UAdministrator

Offline создает резервные копии файлов Samba:

samba-tool domain backup offline --targetdir=<output-dir>

Каждая команда создает файл резервной копии .tar.bz2, который содержит полную резервную копию домена (на основе данного DC). Затем файл резервной копии можно использовать для восстановления домена с помощью команды «samba-tool domain backup restore».

Использовать ту или иную схему бэкапа нужно в зависимости от ситуации. В обычных случаях Online-бэкап самый простой и быстрый, но в случае каких-то неполадок и для их расследования и устранения лучше подойдёт Offline-бэкап, т.к. содержит в себе дополнительные данные.

В идеале можно комбинировать оба способа, настроив бэкап по крону с созданием нужного кол-ва копий.

Заключение

Теперь, когда имеется установленный и настроенный контроллер домена, можно найти ему применение. Например, завести все рабочие станции офиса в домен и централизованно ими управлять. Или же настроить RADIUS для авторизации на VPN-сервере через доменную учётную запись.

Установка и настройка Netatalk на Raspberry Pi

В 2017 году я описывал процесс организации сетевого доступа к файлам на Raspberry Pi (да и, в принципе, на любом другом компьютере с Linux на борту) по SMB-протоколу при помощи утилиты Samba.

Позднее моим основным рабочим инструментом стал макбук, и я решил настроить доступ к файлам на сетевом хранилище по протоколу Apple Filing Protocol или AFP, который является собственным протоколом корпорации Apple для сетевого доступа к файлам. То есть аналогом протоколов SMB и NFS, но только для устройств под управлением macOS.

Для организации сетевого доступа по AFP используется утилита Netatalk, процесс установки и настройки которой описан в данной статье.

Что лучше: AFP или SMB?

Несмотря на наличие собственного сетевого протокола, macOS отлично совместима с SMB, и, в принципе, Apple Filing Protocol использовать не обязательно.

Скорости чтения-записи в macOS протоколу AFP значительно превосходили скорости по SMBv1 и SMBv2, однако после выхода обновленного SMBv3 скорости AFP и SMB сравнялись:

^{Сравнение скоростей при использовании AFP, NFS и SMB разных версий. Взято отсюда.}

Преимущества AFP заключаются в совместимости “из коробки” с Time Machine на macOS. В последних версиях макось стала поддерживать SMB для сетевого хранения бэкапов, однако есть нюансы. Я описываю это подробнее в статье про организацию Time Capsule на Raspberry Pi.

Есть еще одно преимущество AFP, сугубо визуальное. При расшаривании сетевого доступа к устройству при помощи Netatalk можно имитировать устройство из линейки Apple – при этом ему будет присвоена соответствующая иконка. Можно научить свое сетевое файловое хранилище притворяться Xserve или Mac mini и оно будет красиво отображаться в Finder.

Не могу однозначно сказать, стоит ли пользоваться AFP вместо SMB. Все индивидуально.

Что нам понадобится

Для осуществления описываемых в этой статье действий понадобится:

• Raspberry Pi 4
• Внешний жесткий диск
• Локальная сеть

Я описываю процесс на примере Raspberry Pi свежего поколения, но инструкции актуальны для любого компьютера на базе Linux. Например, мой домашний сервер работал на базе mini-ATX десктопа на базе Intel Pentium E5300 с корзиной для дисков OImaster MR-6601, а в 2020 году переехал на Rock Pi 4B.

Установка Netatalk

Для добавления поддержки протокола AFP будет использоваться пакет Netatalk, установить который можно двумя способами: из репозитория или сборкой из исходников.

Установка из репозитория более быстрая и простая, однако с большой вероятностью в репозитории будет содержаться старая версия пакета.

При сборке из исходников мы получаем актуальную версию, однако процесс будет немного сложнее и займет чуть больше времени. Я опишу оба варианта.

Вариант 1. Установка из репозитория

При выборе варианта с установкой Netatalk из репозитория понадобится сперва обновить список доступных пакетов и уже установленные в системе пакеты:

sudo apt-get update
sudo apt-get dist-upgrade

А затем запустить установку Netatalk:

sudo apt-get install netatalk

На этом установка завершена. Проверить версию и посмотреть расположение конфигурационных файлов можно путем выполнения следующей команды:

afpd -V

На момент написания этой статьи актуальной версией является 3.1.12, выпущенная в конце 2018 года.

Вариант 2. Сборка из исходников

Сборка Netatalk из исходников займет больше времени, однако это позволит использовать самую свежую версию пакета.

Если в системе уже установлена старая версия пакета из репозитория, то ее следует удалить:

sudo apt-get purge netatalk

После этого можно приступать к установке.

Шаг 1. Устанавливаем необходимые для сборки пакеты:

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install autoconf build-essential libevent-dev libssl-dev libgcrypt-dev libkrb5-dev libpam0g-dev libwrap0-dev libdb-dev libtdb-dev libmysqlclient-dev avahi-daemon libavahi-client-dev libacl1-dev libldap2-dev libcrack2-dev systemtap-sdt-dev libdbus-1-dev libdbus-glib-1-dev libglib2. 0-dev libio-socket-inet6-perl tracker libtracker-sparql-2.0-dev libtracker-miner-2.0-dev

Шаг 2. Загрузим и распакуем архив с дистрибутивом:

wget http://prdownloads.sourceforge.net/netatalk/netatalk-3.1.12.tar.gz
tar xvf netatalk-3.1.12.tar.bz2

Перед загрузкой можно зайти на сайт проекта Netatalk и проверить наличие свежих версий. Если появится версия свежее, чем указанная в стать 3.1.12, то соответственно нужно будет использовать новые ссылки на скачивание.

Шаг 3. Переходим в папку с распакованным дистрибутивом:

cd netatalk-3.1.12

И запускаем скрипт конфигурации со следующими параметрами:

./configure \
        --with-init-style=debian-systemd \
        --without-libevent \
        --without-tdb \
        --with-cracklib \
        --enable-krbV-uam \
        --with-pam-confdir=/etc/pam.d \
        --with-dbus-daemon=/usr/bin/dbus-daemon \
        --with-dbus-sysconf-dir=/etc/dbus-1/system. d \
        --with-tracker-pkgconfig-version=2.0

Параметры нужно указывать обязательно, т.к. выполнить просто ./configure, то собрать пакет потом не получится. Если конфигурация заканчивается ошибкой, значит не хватает каких-то пакетов из числа перечисленных в первом шаге. Нужно установить их и запустить скрипт со всеми параметрами повторно.

Шаг 4. Сборка и установка

Запустим сборку пакета:

make

И дожидаемся окончания процесса. После чего запускаем установку:

sudo make install

Шаг 5. Запуск Netatalk

После завершения установки остается только запустить сервисы:

sudo systemctl enable avahi-daemon
sudo systemctl enable netatalk
sudo systemctl start avahi-daemon
sudo systemctl start netatalk

Настройка Netatalk

После установки Netatalk нужно расшарить ресурсы, доступ к которым планируется иметь с компьютера под управлением macOS.

Для этого нужно отредактировать файл конфигурации:

• AppleVolumes. default – если используется старая версия пакета (ниже 3.x.x)
• afp.conf – на свежих версиях пакета (3.x.x)

Путь к файлам конфигурации можно посмотреть, выполнив команду

afpd -V

Скорее всего он будет иметь вид либо /etc/netatalk/afp.conf, либо /usr/local/etc/afp.conf

Добавление сетевых шар – afp.conf

Открываем файл afp.conf:

sudo nano /etc/netatalk/afp.conf

И прописываем расшариваемые ресурсы в его конец по следующему шаблону:

[Желаемое название сетевого ресурса]
  path = /путь/к/расшариваемой/папке

Если нужно создать ресурс, доступный только для чтения:

[Желаемое название сетевого ресурса]
  path = /путь/к/расшариваемой/папке
  read only = true

Если нужно создать ресурс, доступный в качестве сетевого диска для Time Machine:

[Желаемое название сетевого ресурса]
  path = /путь/к/расшариваемой/папке
  time machine = true

После изменения конфигурации нужно перезапустить Netatalk:

sudo systemctl restart netatalk

Добавление сетевых шар – AppleVolumes.

Открываем файл AppleVolumes.default:

sudo nano /etc/netatalk/AppleVolumes.default

И доходим в нем до этого места:

# By default all users have access to their home directories.
~/          $hHome
# End of File

Ресурсы прописываются до строки #End of File в следующем формате:

/путь/к/расшариваемой/папке	"Желаемое название сетевого ресурса"

Если нужно создать ресурс, доступный только для чтения:

/путь/к/расшариваемой/папке	"Желаемое название сетевого ресурса" options:ro

Если нужно создать ресурс, доступный в качестве сетевого диска для Time Machine:

/путь/к/расшариваемой/папке	"Желаемое название сетевого ресурса" options:tm

После изменения конфигурации нужно перезапустить Netatalk:

sudo systemctl restart netatalk

Настройка иконки для Finder

Для установки иконки под которой наше устройство будет отображаться в Finder, нужно отредактировать afp.conf:

sudo nano /etc/netatalk/afp. conf

И задать в секции [Global] параметр mimic model:

[Global]
mimic model = MacPro

В качестве названия модели можно использовать Model ID от любой модели техники Apple. Полный список можно посмотреть здесь для компьютеров Apple или здесь для всей остальной их электроники.

Если по каким-то причинам после установки mimic model в afp.conf и перезапуска сервиса иконка в Finder не меняется (а такая проблема возникала у меня), то ее можно сменить через редактирование конфига для Avahi:

sudo nano /etc/avahi/services/afpd.service

В открывшемся файле нужно найти строку

<txt-record>model=X</txt-record>

И заменить X на желаемый Model ID. После чего перезагрузить Avahi:

sudo systemctl restart avahi-daemon

Скрытие служебных файлов для Samba-подключений

Если параллельно с AFP используется доступ по протоколу SMB, то может создавать неудобства наличие служебных файлов с метаданными, генерируемых macOS на сетевом диске при обращении к файлам.

Их можно скрыть от отображения, отредактировав файл конфигурации Samba:

sudo nano /etc/samba/smb.conf

И вставив в раздел [global] следующую строку:

hide files = /.DS_Store/Network Trash Folder/TheFindByContentFolder/TheVolumeSettingsFolder/Temporary Items/.TemporaryItems/.VolumeIcon.icns/Icon?/.FBCIndex/.FBCLockFolder/

Монтирование сетевых дисков в macOS

Для ручного подключения сетевых дисков нужно открыть Finder, нажать Cmd+K (либо выбрать “Подключение к серверу…” в меню “Переход”) и в открывшемся окне ввести afp://ip-адрес-сервера/:

После чего выбрать в открывшемся окне все желаемые диски для подключения:

Чтобы сетевые диски автоматически подключались при загрузке системы нужно зайти в Настройки -> Пользователи и группы -> Объекты входа, нажать на “+” и добавить их в открывшемся окне:

Заключение

Таким образом можно настроить сетевой доступ к файлам по протоколу AFP для компьютеров Apple. Для доступа к файлам на одном и том же сервере можно использовать одновременно и AFP, и SMB и NFS, что удобно при наличии в локальной сети устройств, работающих на различных платформах.

Raspberry Pi 4 1/2/4 Gb RAMна AliExpress

Linux mint расшарить папку для windows

Настройка сети

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь — поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354. Или на телефон +7 918-16-26-331.

Даже небольшая сумма может помочь написанию новых статей 🙂

Или поделитесь ссылкой на эту статью со своими друзьями.

В этой статье будет рассмотрен наиболее простой случай настройки доступа к Linux файлам. Когда нужно предоставить анонимный доступ к общим ресурсам Linux. Это распространенная ситуация в домашних сетях и в сети небольшого офиса. Расшарить папку Linux по сети можно используя несколько протоколов. Но чаще всего это делается через сервер Samba с использованием протокола SMB (CIFS). Именно этот способ и будет описан в статье.

Частое использование Samba и протокола SMB связано с тем, что обычно нужно на Linux расшарить папку для Windows. А протокол SMB (CIFS) используется в операционных системах Windows для организации общего доступа к файлам и принтерам. Компьютер под управлением Linux, на котором установлен и настроен сервер Samba, в локальной сети выглядит точно так же как и компьютер под управлением Windows.

Итак, что, и в какой последовательности необходимо сделать для того чтобы в Linux предоставить сетевой доступ к папке и файлам?

Установка Samba

Это первый шаг. В некоторых дистрибутивах установку Samba можно указать в параметрах установщика, как например Alt Linux или Rosa Linux. Но в большинстве дистрибутивов Samba устанавливается отдельно, при необходимости. Например в Ubuntu установка Samba выполняется автоматически, если вы открываете общий доступ к папке через файловый менеджер Наутилус.

В общем случае установка Samba очень проста — обычно установочный пакет так и называется — samba. В каждом дистрибутиве Linux есть программа для управления программными пакетами. Которая показывает установленные пакеты и позволяет устанавливать новые пакеты. Например в дистрибутиве Ubuntu это три графические программы — Gdebi, Synaptic и Software-center. И две консольные — apt и dpkg.

Итак, шаг первый — проверить установлен ли сервер Samba и если нет тогда установить его.

Настройка доступа в Samba без пароля

Шаг второй. После установки сервера Samba необходимо его настроить. В самом простейшем случае нужно настроить две вещи:

1. Указать папку, которая будет доступна по сети.
2. Указать способ доступа к компьютеру через сеть (способ аутентификации для входа на компьютер через сеть).

С первым пунктом, я думаю, все понятно. Второй пункт чуть сложнее. Samba может предоставлять сетевой доступ к компьютеру Linux либо с авторизацией (с указанием логина и пароля) либо анонимно (без логина и пароля). Как и было написано в начале статьи, я опишу настройку анонимного доступа.

Настроить сервер Samba можно через GUI интерфейс или через непосредственное редактирование файла конфигурации Samba.

Настройка Samba через GUI интерфейс

Чаще всего для этого используется программа system-config-samba. Она есть во всех популярных дистрибутивах Linux. Но не во всех дистрибутивах она устанавливается автоматически (из коробки). Так что нужно проверять ее наличие и устанавливать, если ее нет. Эта программа позволяет не только указать общую папку, но и добавлять Samba-пользователей и управлять некоторыми параметрами сервера Samba.

Параметры, изменяемые через эту программу, записываются в файл глобальной настройки Samba — /etc/samba/smb.conf.

В графической оболочке GNOME есть файловый менеджер Наутилус в котором указать общий доступ к папке можно непосредственно в свойствах этой папки (пакет nautilus-share).

Параметры, изменяемые через файловый менеджер Наутилус, записываются в файл

/. gnome2/nautilus-share-modified-permissions и в папку /var/lib/samba/usershares.

Настройка Samba через файл конфигурации

Файл конфигурации Samba обычно находится в папке /etc/samba и называется smb.conf (полный путь к файлу /etc/samba/smb.conf). Через этот файл можно полностью управлять настройками сервера Samba. Однако редактировать этот файл нужно осторожно.

Samba — настройка доступа без пароля

На самом деле протокол SMB не дает анонимного доступа к файлам и папкам. Он предоставляет два способа авторизации:

1. Авторизация при сетевом входе на компьютер.
2. Авторизация при доступе к разделяемому ресурсу (папке, файлу).

Тем не менее, комбинируя параметры Samba и параметры файловой системы можно получить псевдо анонимный доступ — то есть использование сетевых ресурсов без учетной записи пользователя и без пароля.

Если настраивать Самба через файл smb.conf, тогда нужно, в секции [global], указать следующие параметры:

• security = user
• map to guest = bad user (или bad password)

В случае значения bad user, при сетевом входе, будет запрошено имя пользователя и пароль. Но их можно указать любые «от фонаря». И тем не менее вход будет выполнен. В случае значения bad password не будет запроса имени пользователя и пароля.

Параметр map to guest указывает Самбе, что всех кто не смог авторизоваться нужно тем не менее впускать в систему, но с правами гостя.

Далее в секции, которая описывает общую папку Linux, нужно указать четыре параметра:

• [lan]
• path = /home/user/lan
• guest ok = yes
• read only = no
• create mask = 0777
• directory mask = 0777

Это пример такой секции в файле smb.conf. Заголовок секции определяет имя папки которое будет видно в сети. Параметр path определяет саму папку в файловой системе Linux. А параметры guest ok и read only разрешают запись в папку и гостевой доступ к папке. И последние параметры, create mask и directory mask, указывают, что все файлы и папки, которые будут там созданы через сеть (сетевыми пользователями) должны получить атрибуты полного доступа в файловой системе Linux.

Последние два параметра очень важны, чтобы у всех сетевых пользователей была возможность изменять файлы в этой сетевой папке Linux. Если не указать параметры create mask и directory mask, тогда новые файлы будут доступны только тем кто войдет в эту папку гостем. А например уже локальный пользователь Linux не сможет их изменять.

Вот минимальная конфигурация Samba для анонимного доступа к файлам Linux.

Разрешения Linux для доступа без пароля

Во-первых нужно установить полные права на папку Linux, которая будет сетевой. Полные права доступа на папку в Linux это разрешение на исполнение и запись для: владельца, группы и всех остальных. В Linux широко используется цифровое сокращение для обозначения прав доступа — полный доступ для папки это 777. Если такие права не установить на папку, тогда сетевые пользователи либо не смогут войти в эту папку, либо не смогут в ней создавать новые файлы или папки.

Установить разрешения на файл (папку) в Linux можно через файловый менеджер (через свойства папки) или в терминале, программой chmod.

Если ограничиться только лишь настройкой Samba и установкой разрешений на папку, тем не менее возможно появление проблем с доступом к отдельным файлам в этой сетевой папке Linux.

1. если локальный пользователь Linux войдет в эту папку через файловый менеджер и создаст в ней новый файл;
2. если локальный пользователь Linux скопирует в эту папку файл из другой своей локальной папки.

В обоих случаях новый файл будет недоступен для редактирования сетевыми пользователями. Почему это произойдет? Новый файл получит права доступа Linux 644, то есть полный доступ только для владельца файла. А если файл будет скопирован из другой папки, то он сохранит свои права и после копирования.

Что делать для решения этой проблемы?

Есть разные способы решения. Кто-то советует периодически (например по заданию cron) изменять права всем файлам в папке на 666 (права полного доступ для всех без исключения). Это работает, но на мой взгляд не вариант. Я считаю что такое присвоение прав должно происходит автоматически, без лишних телодвижений.

Другие люди советуют включить ACL на файловой системе Linux и затем указать ACL по умолчанию для сетевой папки (со значением 777).

Это работает, но только наполовину. Если локальный пользователь сам создаст новый файл, этот файл получит атрибуты 666. Но если локальный пользователь скопирует файл из другой папки, то файл сохранит свои старые атрибуты.

Однако есть два способа которые полностью решают проблему.

Первый способ, самый простой.

Локальному пользователю, нужно заходить в сетевую папку тоже через сеть! В этом случае все его операции в папке будут проходить через сервер Samba. А Самба настроена на полный доступ.

Достоинство этого способа в том, что ничего не нужно делать дополнительно. Недостатка два:

1. Скорость файловых операций для локального пользователя будет ниже чем если бы он зашел в сетевую папку обычным образом.
2. Локальный пользователь может забыть и войти в папку обычным образом.

Второй способ — настройка сетевого доступа через