################################################################### # sekcja globalnej konfiguracji Samby # (c)2000,2001 bs@vt.pl # [global] comment = Polaczenie z venom ... log file = /var/log/samba/%I.log dont descend = /dev,/proc,/root,/stand,/bin,/dist,/etc,/lkm,/mnt,/sbin,/sys,/usr # opcje dla 10/100Mbit Half/Full Duplex # takie ustawienie daje maksymalną szybkość w LAN # w zależności od specyfiki konkretnej sieci, może wymagać modyfikacji socket options = TCP_NODELAY SO_SNDBUF=16384 SO_RCVBUF=16384 IPTOS_LOWDELAY # włączenie tych dwóch opcji zwiększa zwykle szybkość Samby o kilkanaście procent # choć z moich analiz wynika, że praca z bazami danych jest trochę szybsza bez tego read raw = yes write raw = yes # buforowanie katalogów getwd cache = yes # buforowanie zapisu plików zdecydowanie poprawia prędkość # ale stwarza niebezpieczeństwo że Samba "nie zdąży" zrzucić buforów na dysk # przy np. padzie zasilania (bez ups'a) plik taki będzie uszkodzony # coś za coś, stosować z umiarem ;) write cache size = 65536 # nadajemy Sambie nazwę w sieci windows netbios name = venom # chcemy mieć w miarę szczegółowe logi z dostępu do plików i zasobów debug level = 2 debug timestamp = no timestamp logs = True # wielkość logów na peceta w KB, logi automatycznie przycinane przez Sambę # czyli w rzeczywistości mamy zawsze po dwa pliki: oryginał i oryginał.bak max log size = 5000 # chcemy aby Samba "słuchała" tylko na jednej z kilku naszych kart sieciowych bind interfaces only = True interfaces = 10.0.0.1/255.255.255.0 hosts allow = localhost, 10.0.0.0/255.255.255.0 # tutaj konfigurujemy sposób obsługi drukowania printing = bsd printcap name = /etc/printcap map archive = no status = yes public = no read only = no lpq cache time = 10 # tutaj ustawiamy opcje dotyczące konwersji nazw plików, wielkości liter itp. preserve case = yes short preserve case = yes strip dot = no hide dot files = yes # strona kodowa na pecetach client code page = 852 # strona kodowa na uniksie character set = iso8859-2 # tryb poziomu bezpieczeństwa zasobów # (user=wymagane konto na uniksie oraz konto samby) security = user guest ok = no browseable = yes # domyślny tryb tworzenia plików -rw------ create mode = 0700 # to odpowiada za superdostęp którego jednak nie chcemy :) # admin users = root # przydatne unix realname = yes # każdy dozwolony zapis do pliku zmienia timestamp pliku (jak w dos) dos file times = yes # ustawiamy grupę roboczą naszej sieci workgroup = vtest # zrzucamy połączenie po czasie 15minut w przypadku braku otwartych plików # lub braku odpowiedzi z peceta dead time = 15 keep alive = 15 # parametry ilości otwarych plików, zasobów itp. mangled stack = 100 shared mem size = 1048576 max open files = 500 # chcemy aby Samba obsługiwała wyświetlanie wszystkich zasobów sieci, oraz udostępniała # tzw roaming profiles (jak w NT) domain master = yes local master = yes preferred master = yes # ponieważ mamy tylko jedną podsieć, "cross subnet browsing" # nie będzie nam potrzebny. Być może zrobimy drugą podsieć, zatem włączymy usługę WINS wins support = yes os level = 64 # niech nasza Samba działa "prawie" jak NT nt smb support = yes nt pipe support = yes nt acl support = no # Logowanie do domeny dla Windows 3.x, 95, 98, # przechowywanie profili użytkowników na serwerze # włączenie skryptów logowania mapujących np. dyski, drukarki itp. domain logons = yes logon script = startup.bat logon path = \\%L\%U # chcemy żeby wszystkie pecety synchronizowały datę i czas zgodnie # z naszym serwerem (jak w NetWare) time server = True # kolejność w jakiej Samba robi rozwiązywanie nazw netbiosowych pecetów name resolve order = wins bcast hosts lmhosts # nie chcemy, aby hasło windows'a = hasłu uniksa # bowiem wymaga to specyficznego skonfigurowania procedury synchronizacji # zależnej od konkretnego uniksa unix password sync = false update encrypted = no passwd program = /usr/bin/passwd %u passwd chat debug = false passwd chat = *New*password* %n\n *Retype*new*password* %n\n *updating*done* # chcemy, żeby hasła były szyfrowane (jak w Windows 98, NT), # Windows 95 wymaga przestawienia na taką pracę # poprzez modyfikację rejestru. Odpowiednie pliki *.reg są dostępne w źródłach Samby. # Tryb pracy z szyfrowanymi hasłami Samby pozwala na zmianę # hasła sieciowego z poziomu "Panelu sterowania" w Windows. encrypt passwords = yes null passwords = false # Komentarz widoczny w trybie szczegółów w "Otoczeniu sieci" Windows server string = Serwer Venom # Sekcje konfiguracji zasobów Samby ################################################################### [homes] # ta sekcja mapuje uniksowy katalog $HOME użytkownikowi comment = Twoj wlasny katalog # przykładowo, prawa na katalogach domowych użytkowników /home # powinny wyglądać tak: # $>ls -l /home # drwx------ 3 piotrek piotrek 512 22 Sty 2000 piotrek # prawa do plików i katalogów tylko dla właściciela create mode = 0700 directory mode = 0700 public = no writable = yes # ścieżka do zasobu (czyli $HOME z /etc/passwd) path = /home/%u browseable = no # zezwalamy na agresywne buforowanie plików przez Windows co # daje znaczące zwiększenie szybkości Samby. # Bezsensownym jest stosowanie tego na zasobach bazodanowych itp. # "oplock" = "opportunistic lock" oplocks = True level2 oplocks = True # przykładowo zabraniamy oplock'ów na plikach *.dbf i *.DBF # veto oplock files = /*.DBF/*.dbf/ ################################################################### [netlogon] # ta sekcja udostępni zasób dla wszystkich, przy logowaniu do serwera # w którym trzymamy globalny logonskrypt, # pliki założeń Windows Policy (config.pol) - patrz dokumentacja Windows, # a w szczególności program poledit.exe. Windows przy logowaniu nakłada # parametry i ograniczenia pobierane z pliku config.pol na logującego się # użytkownika. Modyfikowany jest rejestr tego użytkownika. # prawa na katalogu powinny być takie: # drwxr-xr-x 2 root wheel 512 14 Sty 2000 netlogon comment = Net Logon Service path = /home/netlogon case sensitive = no create mode = 0755 directory mode = 0770 guest ok = yes # nie potrzebujemy blokowania plików bo zasób jest tylko do odczytu locking = no writable = no share modes = no browseable = yes # pozwalamy jednak na zapis do niego użytkownikom w uniksowej grupie inf, # patrz plik /etc/group write list = @inf ################################################################### [hpdj] # tutaj udostępnimy drukarkę sieciową # nazwa [hpdj] musi być identyczna jak w /etc/printcap # tu wrzucane będą pliki tymczasowe wydruków, następnie kasowane # po przesłaniu na drukarkę przez daemona lpd path = /home/tmp comment = HP Desk Jet 600 writable = yes printable = yes create mode = 0700 read only = yes # ta drukarka jest tylko dla użytkowników uniksowej grupy pub write list = @pub # oraz wyłącznie z serwera i tych pecetów hosts allow = 10.0.0.1 10.0.0.100 10.0.0.110 # tą komendą Samba będzie drukować print command = /usr/bin/lpr -r -h -P %p %s ################################################################### [pub] # Zrobimy zasób dostępny dla wszystkich z naszej sieci Windows, # posiadających konto na serwerze # prawa na tym katalogu powinny być takie: # drwxrwx--- 2 root pub 512 25 Sie 22:59 pub path = /home/pub volume = pub comment = Katalog dla lokalnych browseable = yes # prawa muszą być także dla grupy, bowiem nikt z członków grupy # nie mógłby nic zrobić z plikami innego członka grupy create mode = 0770 directory mode = 0770 write list = @pub oplocks = True level2 oplocks = True # dajemy dostęp do niego tylko z części sieci hosts allow = 10.0.0.1/255.255.255.240 ################################################################### [goscie] # Zróbmy katalog dla innej grupy path = /home/goscie volume = goscie comment = Katalog dla wszystkich browseable = yes create mode = 0770 directory mode = 0770 write list = @goscie oplocks = True level2 oplocks = True ################################################################### [bazy] # Specjalna sekcja na potrzeby systemów bazodanowych, finansowo # księgowych itp. Dostęp współdzielony bez oplock'ów path = /home/bazy volume = bazy comment = Katalog baz danych browseable = yes create mode = 0770 directory mode = 0770 write list = @bazy # zakaz stosowania agresywnego buforowania przez windows oplocks = False dos filetime resolution = True ################################################################### [cdrom] # Czasem trzeba coś zainstalować na pecetach z udostępninego # i podmontowanego cdromu na uniksie :) # drwxr-xr-x 2 root wheel 512 15 Kwi 17:45 cdrom path = /cdrom volume = cdrom comment = Naped CDROM read only = yes fake oplocks = yes locking = no writable = no share modes = no ################################################################### [programy] # a tu trzymamy różne programy dla pecetów path = /home/programy volume = programy comment = Programy uzytkowe i nietylko #read only = yes create mode = 0775 directory mode = 0775 #fake oplocks = yes oplocks = True level2 oplocks = True #locking = yes #writable = no #share modes = no # oczywiście prawo zapisu ma tylko uniksowa grupa programy write list = @programy # czytać pliki może uniksowa grupa pub i goscie read list = @pub, @goscie hosts allow = 10.0.0.0/255.255.255.0 ################################################################### [www] # użytkownicy naszej sieci wolą robić strony www lokalnie, # na swoich komputerach, pracując z zamapowanego dysku serwera i # strasznie nie lubią zabawy z użyciem ftp do wkopiowywania # stron na serwer, tak więc Sambo! Do dzieła! # prawa na tym katalogu powinny być takie: # drwxr-xr-x 4 root pub 512 27 Sie 09:23 www # a wewnątrz katalogi użytkowników dostępne ze świata poprzez # Apache Web Serwer (co wymaga odpowiedniej konfiguracji apacza) # articles 40 root wheel lrwxr-xr-x # ~books 37 root wheel lrwxr-xr-x # ~faq 18 root wheel lrwxr-xr-x # ~handbook 23 root wheel lrwxr-xr-x # ~samba 28 root wheel lrwxr-xr-x # ~sharedoc 20 root wheel lrwxr-xr-x # /tom 1024 tom nobody drwxr-x--- # /www.pit.com.pl 512 mikek nobody drwxr-x--- # index.html 688 webmaster webmaster -rw-rw-r-- # ... # path = /home/www volume = www comment = Dla stron WWW create mode = 0775 directory mode = 0775 write list = @pub oplocks = false level2 oplocks = false ###################### KONIEC KONFIGURACJI ######################## ###################################################################