Configuração "automágica" de servidor Linux PDC Samba
Apresentamos uma configuração de servidor Linux Samba com autenticação centralizada (PDC) por meio de um programa configurável escrito em shell script. Aplicamos algumas restrições de segurança e procuramos estabelecer padrões de configuração passíveis de serem modificados, de acordo com as necessidades dos administradores.
Considerações iniciais
A ampla maioria dos documentos escritos sobre a configuração de servidores de autenticação destaca os parâmetros do arquivo de configuração do servidor (/etc/samba/smb.conf). Evidentemente com razão, pois erros na configuração do referido arquivo impossibilitam o funcionamento do servidor ou geram inconsistência no acesso aos compartilhamentos.
Pretendemos trabalhar neste artigo com as permissões adequadas no sistema de arquivos do servidor que correspondem ao arquivo de configuração (smb.conf).
Começamos por definir a política de segurança de acesso ao servidor PDC, para que este se torne mais seguro. E, para isso, organizamos a construção do servidor de arquivos com o uso medidas restritivas comuns a uma política de segurança organizacional. Tratamos dos seguintes tópicos:
Definidas as linhas da política de acesso, podemos optar por duas possibilidades de construção do servidor:
Opção a) criar um script de instalação/restauração (restaure_samba.sh) com as configurações iniciais de instalação para ser utilizado na instalação inicial e ser executado em caso de crash do servidor, recuperando a instalação inicial.
Opção b) criar um programa interativo a ser utilizado na instalação e configuração do servidor e dos clientes.
Ambas as opções possuem vantagens e inconvenientes. Trabalharemos, no momento, com a construção do servidor por meio do script de restauração.
Pretendemos trabalhar neste artigo com as permissões adequadas no sistema de arquivos do servidor que correspondem ao arquivo de configuração (smb.conf).
Começamos por definir a política de segurança de acesso ao servidor PDC, para que este se torne mais seguro. E, para isso, organizamos a construção do servidor de arquivos com o uso medidas restritivas comuns a uma política de segurança organizacional. Tratamos dos seguintes tópicos:
- O servidor necessita possuir arquivos compartilhados em diretórios de uso geral (público), com permissão de leitura e gravação para todos;
- O servidor necessita possuir arquivos compartilhados em diretórios de uso específico (seções ou departamentos), com permissão de leitura e escrita para os membros do grupo e sem permissão de leitura para usuários de outros grupos;
- O servidor necessita possuir arquivos compartilhados em um diretório geral (notícias), com permissão somente de leitura para todos; (salvo aqueles com permissão de incluir as notícias. :)
- O servidor precisa possuir um diretório para compartilhamento a ser usado no logon dos usuários (netlogon);
- O servidor pode utilizar um diretório para armazenamento de perfis de usuários da rede (profiles);
- Somente máquinas pertencentes à rede da organização devem ter acesso aos compartilhamentos do servidor.
Definidas as linhas da política de acesso, podemos optar por duas possibilidades de construção do servidor:
Opção a) criar um script de instalação/restauração (restaure_samba.sh) com as configurações iniciais de instalação para ser utilizado na instalação inicial e ser executado em caso de crash do servidor, recuperando a instalação inicial.
Opção b) criar um programa interativo a ser utilizado na instalação e configuração do servidor e dos clientes.
Ambas as opções possuem vantagens e inconvenientes. Trabalharemos, no momento, com a construção do servidor por meio do script de restauração.
Valeu!