28.3. Configuración de un servidor Samba

Un servidor Samba se puede configurar en SUSE Linux de dos modos diferentes: con YaST o manualmente. La configuración manual ofrece un nivel superior de detalle, pero carece de la comodidad de la interfaz gráfica de YaST.

28.3.1. Configuración de un servidor Samba con YaST

Para configurar un servidor Samba, inicie YaST y seleccione Servicios de red+Servidor Samba. Cuando se inicia el módulo por primera vez, se muestra el cuadro de diálogo Instalación del servidor Samba, donde se le solicita que tome algunas decisiones básicas en relación con la administración del servidor. Al final de la configuración, este cuadro de diálogo solicita la contraseña del usuario Root de Samba. Cuando se inicia el servidor posteriormente, aparece el cuadro de diálogo Configuración del servidor Samba.

El cuadro de diálogo Instalación del servidor Samba consta de dos pasos:

Nombre de grupo de trabajo o dominio

En Nombre de grupo de trabajo o dominio, seleccione un nombre existente o introduzca uno nuevo y haga clic en Siguiente.

Tipo de servidor Samba

En el siguiente paso, especifique si el servidor debe actuar como PDC y haga clic en Siguiente.

Puede cambiar todos los ajustes de Instalación del servidor Samba más adelante en el cuadro de diálogo Configuración del servidor Samba, por medio de la pestaña Identidad.

Durante el primer inicio del módulo del servidor Samba, el cuadro de diálogo Configuración del servidor Samba se muestra inmediatamente después del cuadro de diálogo Instalación del servidor Samba. Está compuesto por tres pestañas:

Inicio

En la pestaña Inicio, puede definir el inicio del servidor Samba. Para iniciar el servicio cada vez que se arranque el sistema, seleccione Durante el arranque. Para activar el inicio manual, elija Manualmente. Para obtener más información acerca del inicio del servidor Samba, consulte la Sección 28.2, “Inicio y detención de Samba”.

En esta pestaña puede también abrir puertos en el cortafuegos. Para ello, seleccione Puerto abierto en el cortafuegos. Si tiene varias interfaces de red, seleccione la que corresponda a los servicios Samba haciendo clic en Detalles del cortafuegos, seleccionando la interfaz y haciendo clic en Aceptar.

Recursos compartidos

En esta pestaña puede determinar los recursos compartidos de Samba que se deben activar. Hay algunos predefinidos, como los que corresponden a los directorios personales y las impresoras. Utilice Cambiar estado para cambiar entre Activo e Inactive (Inactivo). Haga clic en Añadir para agregar recursos compartidos nuevos o en Suprimir para eliminar el recurso compartido seleccionado.

Identity (Identidad)

En la pestaña Identidad, puede determinar el dominio con el que está asociado el host (Configuración básica) y si se debe utilizar un nombre de host alternativo en la red (Nombre de host de NetBIOS). Para definir ajustes globales de experto o la autenticación de usuarios, haga clic en Configuración avanzada.

Haga clic en Finalizar para cerrar la configuración.

28.3.2. Administración Web con SWAT

SWAT (Samba Web Administration Tool, herramienta de administración Web de Samba) es una herramienta alternativa para administrar el servidor Samba. Este programa ofrece una interfaz Web sencilla que permite configurar el servidor Samba. Para utilizar SWAT, abra http://localhost:901 en un navegador Web e inicie la sesión como usuario Root. Si no dispone de una cuenta de usuario Root especial para Samba, utilice la cuenta de usuario Root del sistema.

[Note]Activación de SWAT

Después de la instalación del servidor Samba, SWAT no está activado. Para activarlo, abra Servicios de red+Servicios de red (xinetd) en YaST, habilite la configuración de los servicios de red, seleccione swat en la tabla y haga clic en Cambiar estado (encendido o apagado).

28.3.3. Configuración del servidor manualmente

Si tiene la intención de utilizar Samba como servidor, debe instalar samba. El archivo de configuración principal de Samba es /etc/samba/smb.conf. Este archivo se puede dividir en dos partes lógicas. La sección [global] contiene los ajustes centrales y globales. Las secciones [share] contienen cada uno de los recursos compartidos de archivos e impresión. De esta manera, los detalles se pueden configurar de manera diferente para cada recurso compartido o bien de manera global en la sección [global], con lo que se mejora la transparencia del archivo de configuración.

28.3.3.1. La sección global

Para que las otras máquinas puedan acceder al servidor Samba por medio de SMB en un entorno Windows, deben ajustarse los siguientes parámetros de la sección [global] para que se adecuen a las necesidades de la configuración de la red.

workgroup = TUX-NET

Esta línea asigna el servidor Samba a un grupo de trabajo. Sustituya TUX-NET por el grupo de trabajo adecuado del entorno de red. El servidor Samba aparece bajo su nombre DNS, a menos que dicho nombre ya se haya asignado a otra máquina de la red. Si el nombre DNS no está disponible, establezca el nombre del servidor mediante netbiosname=MINOMBRE. Consulte mansmb.conf para conocer más detalles de este parámetro.

os level = 2

De este parámetro depende que el servidor Samba intente establecerse como LMB (Local Master Browser, navegador principal local) para el grupo de trabajo correspondiente. Seleccione un valor muy bajo para evitar que la red Windows existente se vea perturbada por un servidor Samba mal configurado. Podrá encontrar más información sobre este punto importante en los archivos BROWSING.txt y BROWSING-Config.txt del subdirectorio textdocs de la documentación del paquete.

Si no existe ningún otro servidor SMB en la red (como servidores Windows NT o 2000) y desea que el servidor Samba lleve una lista de todos los sistemas disponibles en el entorno local, aumente el valor de os level (por ejemplo, hasta 65). El servidor Samba se elegirá como LMB para la red local.

Al cambiar este valor, tenga muy en cuenta cómo podría afectar a un entorno de red Windows existente. Pruebe los cambios primero en una red aislada o en momentos del día que no sean críticos.

wins support y wins server

Para integrar el servidor Samba en una red Windows existente en la que haya un servidor WINS activo, active la opción wins server y establezca como su valor la dirección IP del servidor WINS.

Si las máquinas Windows están conectadas a subredes separadas pero deben ser visibles entre sí, es necesario establecer un servidor WINS. Para convertir el servidor Samba en dicho servidor WINS, establezca la opción wins support = Yes. Asegúrese de que sólo un servidor de la red tiene este ajuste habilitado. Las opciones wins server y wins support no deben habilitarse nunca al mismo tiempo en el archivo smb.conf.

28.3.3.2. Recursos compartidos

En los siguientes ejemplos se indica cómo poner a disposición de los clientes SMB una unidad de CD-ROM y los directorios de usuario (homes).

[cdrom]

Para impedir la activación por error del acceso a la unidad de CD-ROM, las siguientes líneas se han desactivado mediante marcas de comentario (en este caso, puntos y coma). Elimine los puntos y coma de la primera columna para compartir la unidad de CD-ROM mediante Samba.

Ejemplo 28.1. Un CD-ROM como recurso compartido

;[cdrom]
;       comment = Linux CD-ROM
;       path = /media/cdrom
;       locking = No
[cdrom] y comment

La entrada [cdrom] es el nombre del recurso compartido que verán todos los clientes SMB de la red. De forma opcional, se puede añadir un comment para describir más detalladamente el recurso compartido.

path = /media/cdrom

path exporta el directorio /media/cdrom.

Mediante la restrictiva configuración por defecto, este tipo de recurso compartido sólo se encuentra disponible para usuarios presentes en el sistema. Si el recurso compartido debe estar disponible para todos los usuarios, añada la línea guest ok = yes a la configuración. Este ajuste concede permiso de lectura a todos los usuarios de la red. Se recomienda utilizarlo con mucho cuidado. En particular, hay que utilizarlo con mucho cuidad en la sección [global].

[homes]

El recurso compartido [home] tiene una importancia especial. Si el usuario dispone de una cuenta válida y de una contraseña en el servidor de archivos Linux y de su propio directorio personal, podrá acceder a él.

Ejemplo 28.2. Recurso compartido homes

[homes]
	comment = Home Directories
	valid users = %S
	browseable = No
	read only = No
	create mask = 0640
	directory mask = 0750
[homes]

Siempre y cuando no exista otro recurso compartido que utilice como nombre de recurso compartido el del usuario que se conecte al servidor SMB, se creará de forma dinámica un recurso compartido mediante las directivas de recurso compartido de [homes]. El nombre del recurso compartido que resulte será el nombre del usuario.

valid users = %S

Una vez que la conexión quede correctamente establecida, %S se reemplazará por el nombre específico del recurso compartido. En el caso de un recurso compartido [homes], éste será siempre del nombre del usuario. Como consecuencia, los derechos de acceso al recurso compartido de un usuario quedarán restringidos al propio usuario.

browseable = No

Este ajuste hace que el recurso compartido no pueda verse en el entorno de red.

read only = No

Por defecto, Samba deniega el permiso de escritura a todos los recursos compartidos exportados mediante el parámetro read only = Yes. Para tener permiso de escritura en un recurso compartido, establezca el valor read only = No, que es equivalente a writeable = Yes.

create mask = 0640

Los sistemas no basados en MS Windows NT no comprenden el concepto de los permisos de UNIX, por lo que no pueden establecerlos al crear un archivo. El parámetro create mask define los permisos de acceso que se asignarán a los archivos de nueva creación. Esto sólo se aplica a los recursos compartidos en los que se puede escribir. En concreto, este ajuste significa que el propietario tiene permisos de lectura y escritura, y que los miembros del grupo primario del usuario tienen permisos de lectura. valid users = %S impide el acceso de lectura incluso aunque el grupo tenga permiso para ello. Para que el grupo tenga acceso de lectura y escritura, desactive la línea valid users = %S.

28.3.3.3. Nivel de seguridad

Es posible proteger el acceso a cada recurso compartido mediante una contraseña para aumentar la seguridad. SMB dispone de tres maneras posibles de comprobar los permisos:

Seguridad en el nivel del recurso compartido (security = share)

Se asigna una contraseña fija al recurso compartido. Todos los que conozcan la contraseña tendrán acceso al recurso compartido.

Seguridad en el nivel del usuario (security = user)

Esta variante introduce el concepto de usuario en SMB. Cada usuario debe registrarse en el servidor con su propia contraseña. Después del registro, el servidor puede dar acceso a cada recurso compartido exportado en función de los nombres de usuario.

Seguridad en el nivel del servidor (security = server):

De cara a los clientes, Samba actúa como si trabajara en el modo de nivel de usuario. Sin embargo, todas las peticiones de contraseñas se pasan a otro servidor en modo de nivel de usuario, que es el encargado de la autenticación. Este ajuste requiere un parámetro adicional (password server).

La selección de la seguridad en el nivel del recurso compartido, del usuario o del servidor afecta al servidor entero. No es posible ofrecer ciertos recursos compartidos en la configuración de un servidor con seguridad en el nivel del recurso compartido y otros con seguridad en el nivel del usuario. No obstante, se puede ejecutar un servidor Samba individual para cada dirección IP configurada en el sistema.

Hay más información sobre este tema en el documento Samba HOWTO Collection. Para el caso de un solo sistema con varios servidores, estudie las opciones interfaces y bind interfaces only.