GNU/Linux >> Tutoriels Linux >  >> Panels >> Webmin

Partage de fichiers Windows Samba

Le partage de fichiers Windows Samba explique le protocole SMB (souvent appelé CIFS - Common Internet File System) via lequel les systèmes Windows partagent des fichiers, et explique comment configurer Samba programme pour rendre les fichiers de votre serveur Unix disponibles pour les clients Windows.

Une introduction à Samba est disponible.

Le module de partage de fichiers Windows Samba

Le partage de fichiers Windows Samba permet de spécifier les répertoires et les imprimantes à partager avec les clients Windows en utilisant le protocole SMB (Server Message Blocks). Il se trouve dans la catégorie Serveurs, et lorsque son lien est cliqué, la page principale, comme indiqué dans la capture d'écran ci-dessous, s'affiche. Tous les partages existants sont répertoriés, ainsi que leurs chemins et les utilisateurs auxquels ils sont disponibles. En dessous se trouvent des icônes pour définir diverses options globales qui s'appliquent à tous les partages, des liens pour gérer les utilisateurs de Samba et un bouton pour démarrer ou redémarrer les processus du serveur.

Au fil des ans, Samba a acquis une vaste gamme d'options configurables. Ce module ne permet cependant pas de les configurer tous, seulement ceux qui sont utiles pour un petit serveur sur un réseau simple. Par exemple, les paramètres liés aux scripts de connexion, aux domaines NT et SSL ne peuvent pas être modifiés. Cependant, si vous les ajoutez manuellement à votre fichier smb.conf, le module ne les modifiera pas.

Comme tous les autres modules qui configurent un serveur, celui-ci ne peut être utilisé que si le serveur Samba est réellement installé. Si le module ne le trouve pas, un message d'erreur du type L'exécutable du serveur Samba /usr/sbin/smbd n'a pas été trouvé apparaîtra sur la page principale à la place. Si vous avez installé Samba mais dans un emplacement différent de celui attendu par le module, consultez la section Configuration du partage de fichiers Windows Samba module plus loin dans ce chapitre pour savoir comment le reconfigurer pour utiliser les chemins corrects. Sinon, vous devrez l'installer.

La plupart des distributions Linux et plusieurs autres systèmes d'exploitation incluent un ou plusieurs packages Samba, qui peuvent être facilement installés à l'aide du module Software Packages (traité au chapitre 12). Sinon, vous devrez télécharger le code source depuis www.samba.org, puis le compiler et l'installer manuellement. Le module s'attend à ce que vous utilisiez le package s'il en existe un ou le code source sinon, donc si vous ne l'avez pas fait et qu'un message d'erreur est toujours affiché sur la page principale, la configuration du module devra être ajustée pour utiliser les chemins corrects.

Quelle que soit la manière dont Samba est installé, son fichier de configuration par défaut comprendra au moins deux partages (les maisons spéciales et les imprimantes), ainsi que plusieurs paramètres globaux. Cela signifie que même si vous n'avez jamais utilisé ce module auparavant ou configuré Samba manuellement, la liste sur la page principale ne sera pas vide. Bien sûr, si vous avez ajouté des partages en éditant directement le fichier de configuration, ils seront également affichés.

Si Webmin détecte que Samba est déjà en cours d'exécution, un bouton intitulé Redémarrer les serveurs Samba sera affiché en bas de la page. Comme on pouvait s'y attendre, cliquer dessus tuera tous les processus serveur en cours d'exécution et les redémarrera, forçant le rechargement de la configuration actuelle. Ceci est cependant généralement inutile, car Samba relira les fichiers de configuration dès qu'il détectera qu'ils ont été modifiés.

Si le module détecte que les deux processus du serveur Samba ne sont pas en cours d'exécution, il affichera le message Démarrer les serveurs à la place, qui, une fois cliqués, démarreront à la fois smbd et nmbd. Aucun fichier PID n'est vérifié pour déterminer s'il est en cours d'exécution ou non - à la place, le module recherche les processus en cours d'exécution portant ces noms.

Partage de fichiers Windows Samba

Gestion des utilisateurs Samba

Comme mentionné dans l'introduction, le protocole SMB utilise un format de cryptage de mot de passe incompatible avec le format Unix standard. À un moment donné, ce n'était pas un problème, car les anciennes versions de Windows (95 et antérieures) envoyaient des mots de passe aux serveurs SMB non chiffrés. Cela a permis à Samba de les chiffrer et de les vérifier par rapport à la liste de mots de passe Unix, tout comme le font les serveurs FTP ou telnet. Malheureusement, les versions récentes de Windows n'enverront que des mots de passe dans le nouveau format crypté NTLM, à moins qu'une clé de registre obscure particulière ne soit modifiée. Cela signifie que Samba doit maintenir une liste séparée de mots de passe pour valider les clients modernes.

À moins que votre serveur ne soit accessible que par d'anciens hôtes Windows ou des systèmes Linux, vous devrez activer cette liste de mots de passe cryptés distincte. Pour ce faire, procédez comme suit :

  1. Sur la page principale du module, cliquez sur Authentification icône.
  2. Dans le formulaire qui s'affiche, modifiez l'option Utiliser des mots de passe chiffrés ? champ sur Oui .
  3. Cliquez sur Enregistrer en bas du formulaire pour revenir activer le nouveau paramètre et revenir à la page principale du module. S'il n'apparaissait pas auparavant, les mots de passe cryptés section contenant trois liens devrait maintenant être visible.

Maintenant que la liste de mots de passe séparée de Samba est activée, vous devrez y ajouter certains de vos utilisateurs Unix existants. Cela peut être fait facilement en utilisant Webmin en suivant les étapes ci-dessous :

  1. Sur la page principale du module Samba, cliquez sur le lien *Convertir les utilisateurs Unix en utilisateurs Samba* dans les mots de passe cryptés section pour afficher le formulaire de conversion.
  2. Le Ne convertissez pas ou ne supprimez pas ces utilisateurs Le champ répertorie les utilisateurs qui seront exclus de la conversion et contient par défaut tous les comptes système. Vous voudrez peut-être en ajouter d'autres - cependant, il n'y a aucun mal à convertir des comptes qui ne seront jamais utilisés.
  3. Si vous avez déjà utilisé ce formulaire, l'option * Mettre à jour les utilisateurs Samba existants à partir de leurs détails Unix * peut être cochée pour mettre à jour les utilisateurs Samba existants afin qu'ils correspondent aux utilisateurs Unix correspondants.
  4. De même, la case *Supprimer les utilisateurs Samba qui n'existent pas sous Unix* peut être cochée pour supprimer les utilisateurs Samba qui n'ont plus d'utilisateur Unix correspondant.
  5. Le Pour les utilisateurs nouvellement créés, définissez le mot de passe sur champ détermine le mot de passe qui sera attribué, car il n'y a aucun moyen de convertir les mots de passe existants des utilisateurs. Le meilleur choix est *Compte verrouillé*, qui empêche les utilisateurs convertis d'être utilisés jusqu'à ce qu'un mot de passe soit défini ultérieurement. Vous pouvez également choisir Pas de mot de passe pour laisser les nouveaux comptes sans mot de passe (une mauvaise idée du point de vue de la sécurité), ou Utiliser ce mot de passe pour spécifier un mot de passe pour tous les utilisateurs convertis.
  6. Cliquez sur Convertir les utilisateurs bouton pour commencer le processus. Une page répertoriant chaque utilisateur converti, ignoré ou mis à jour s'affichera.

Après la conversion, vous devrez probablement définir des mots de passe pour les nouveaux utilisateurs de Samba. Cela doit être fait un par un, en suivant ces instructions pour chaque utilisateur :

  1. Sur la page principale du module, cliquez sur le lien *Modifier les utilisateurs et les mots de passe Samba* pour afficher une liste des utilisateurs existants.
  2. Cliquez sur le nom de l'utilisateur dont vous souhaitez définir le mot de passe.
  3. Dans le Mot de passe champ, sélectionnez le Nouveau mot de passe option et remplissez la zone de texte à côté. Vous pouvez également choisir Pas d'accès pour bloquer toutes les connexions Samba par cet utilisateur, Pas de mot de passe pour autoriser les connexions sans mot de passe ou Mot de passe actuel pour laisser le mot de passe inchangé.
  4. Aucun des autres champs du formulaire ne doit être modifié - cliquez simplement sur Enregistrer bouton pour revenir à la liste des utilisateurs.
  5. Vous devriez maintenant pouvoir vous connecter à votre serveur Samba en tant qu'utilisateur avec le mot de passe choisi et accéder aux fichiers d'un partage. En supposant que les maisons spéciales partage existe, chaque utilisateur aura accès au partage avec le même nom que son nom d'utilisateur.

Parce que la conversion et la définition du mot de passe pour chaque nouvel utilisateur est une perte d'effort fastidieuse, vous pouvez configurer le module pour créer automatiquement un utilisateur Samba pour chaque utilisateur Unix créé dans Webmin. Il est également possible de renommer, de supprimer un utilisateur Samba ou de modifier son mot de passe lorsque son compte utilisateur Unix correspondant est modifié dans le module Utilisateurs et groupes. Les étapes à suivre pour mettre en place cette synchronisation sont :

  1. Sur la page principale du module Samba, cliquez sur le lien *Configurer la synchronisation automatique des utilisateurs Unix et Samba* dans la section *Mot de passe crypté*.
  2. Sur le formulaire de synchronisation, cochez la case *Ajouter un utilisateur Samba lors de l'ajout d'un utilisateur Unix* pour qu'un utilisateur Samba soit créé avec le bon UID et le bon mot de passe pour chaque nouvel utilisateur Unix.
  3. Pour faire renommer l'utilisateur Samba correspondant ou changer son mot de passe lorsqu'un utilisateur Unix est modifié, cochez la case *Changer l'utilisateur Samba lorsqu'un utilisateur Unix est modifié*.
  4. Pour que Webmin supprime l'utilisateur Samba correspondant lorsqu'un utilisateur Unix est supprimé, cochez la case *Supprimer l'utilisateur Samba lorsqu'un utilisateur Unix est supprimé*.
  5. Cliquez sur Appliquer bouton pour enregistrer vos paramètres. Toute action effectuée dans le module Utilisateurs et groupes (lorsque les options *dans d'autres modules* sont utilisées) modifiera également la liste des utilisateurs Samba.
Remarque : Malheureusement, cette synchronisation ne s'applique qu'aux modules Utilisateurs et groupes, Changer les mots de passe et Utilisateurs et groupes du cluster dans Webmin. Si vous ajoutez un utilisateur avec le adduser commande shell ou changer un mot de passe avec le passwd commande shell, aucun utilisateur Samba ne sera ajouté ou mis à jour
.

Ajouter un nouveau partage de fichiers

Dans sa configuration par défaut habituelle, Samba permettra à tout utilisateur Unix de se connecter et d'accéder aux fichiers de son répertoire personnel. Les maisons spéciales share fournit cette fonctionnalité, qui dans de nombreux cas est tout ce dont vous avez besoin pour que les utilisateurs stockent leurs propres fichiers sur le serveur. Cependant, il est souvent utile de partager un répertoire auquel tout le monde a accès, afin que les documents intéressant l'ensemble de l'organisation puissent être mis à disposition. Un partage comme celui-ci peut être configuré pour autoriser l'accès invité (ce qui signifie qu'aucune connexion n'est requise pour y accéder) ou pour exiger une connexion valide au serveur.

Pour créer un partage de fichiers, les étapes à suivre sont :

  1. Tout d'abord, choisissez le répertoire que vous souhaitez partager et créez-le s'il n'existe pas déjà. Il doit recevoir les autorisations Unix appropriées pour que les utilisateurs puissent y lire et/ou y écrire.
  2. Sur la page principale du module, cliquez sur Créer un nouveau partage de fichiers lien au-dessus ou au-dessous du tableau. Cela vous amènera au formulaire de création de partage illustré dans la capture d'écran ci-dessous.
  3. Dans le nom de partage , assurez-vous que le premier bouton est sélectionné et entrez un nom alphanumérique unique pour votre partage dans la zone de texte, comme documents . Si vous entrez le nom d'un utilisateur Unix, son partage de répertoire personnel automatique sera remplacé.
  4. Dans le Répertoire à partager champ, entrez ou sélectionnez avec le petit bouton le chemin complet du répertoire choisi à l'étape 1
  5. Pour désactiver ce partage afin qu'il ne puisse pas être utilisé, modifiez la valeur Disponible ? champ sur Non . Cela peut être utile si vous souhaitez le mettre hors ligne jusqu'à ce que toutes les options aient été correctement définies.
  6. Pour masquer ce partage de la liste des partages qui s'affiche lors de la navigation sur le serveur, modifiez le paramètre Browseable ? champ sur Non . Il sera toujours directement accessible en utilisant un chemin \\servername\sharename.
  7. Dans le Commentaire de partage champ, entrez une courte description pour ce partage de fichiers, comme Documents d'entreprise .
  8. Cliquez sur Créer bouton pour l'ajouter à la configuration de Samba. Votre navigateur sera renvoyé à la page principale du module, sur laquelle le nouveau partage sera répertorié.
  9. Cliquez sur le nouveau nom de partage pour afficher sa page d'édition.
  10. Cliquez sur Sécurité et contrôle d'accès icône pour afficher le formulaire de sécurité du partage.
  11. Si les fichiers de ce partage doivent être en lecture seule, définissez la valeur Writable ? champ sur Non - sinon, assurez-vous que Oui est sélectionné.
  12. L'accès invité ? détermine si les clients sont autorisés à accéder à ce partage sans se connecter au serveur. Les options disponibles sont :Aucune Seuls les utilisateurs authentifiés auront accès. Oui Tout le monde sera autorisé à accéder au partage, mais les clients non authentifiés seront traités comme des invités. Les clients qui se sont connectés auront leurs droits d'accès normaux aux fichiers. Invité uniquement Tous les clients, authentifiés ou non, seront traités comme des invités.
  13. Pour définir l'utilisateur Unix sous lequel les invités lisent et écrivent les fichiers, modifiez l'utilisateur unix invité domaine. Il devrait normalement s'agir d'un compte avec un accès en lecture seule.
  14. Cliquez sur Enregistrer bouton en bas du formulaire. Le partage est maintenant prêt à être utilisé par les clients et devrait s'afficher lorsque votre serveur est parcouru.
Créer un partage de fichiers

Un partage peut être modifié après sa création en cliquant sur son nom dans la liste de la page principale du module pour faire apparaître son formulaire de modification, en modifiant les détails comme le chemin ou la description et en appuyant sur Enregistrer bouton. Ou il peut être entièrement supprimé en cliquant sur Supprimer sur le même formulaire. Vous pouvez également modifier des paramètres supplémentaires en cliquant sur les icônes en bas de la page d'édition - les sections ultérieures de ce chapitre expliquent ce qu'ils font plus en détail.

Le partage home peut également être modifié, bien qu'il n'ait généralement pas de chemin (ou s'il en a un, il contiendra le code spécial %U qui est remplacé par le répertoire personnel de l'utilisateur qui se connecte).

Modifier le partage de fichiers

Ajout d'un nouveau partage d'imprimante

La configuration par défaut de Samba contient généralement les imprimantes spéciales share, qui indique que toutes les imprimantes de votre système sont disponibles pour les clients SMB. Cependant, une imprimante spécifique peut être explicitement partagée à la place. C'est peut-être mieux que de les partager automatiquement, car cela vous permet de définir différentes options pour chaque imprimante ou d'en exclure certaines du partage.

Avant que l'impression et la navigation des imprimantes dans Samba ne fonctionnent correctement, il doit être configuré pour utiliser le bon système d'impression pour votre machine Unix. Voir la Configuration des imprimantes section plus loin dans le chapitre pour plus de détails sur la façon de régler cela. S'il n'est pas défini correctement, le serveur utilisera les mauvaises commandes pour répertorier les imprimantes et soumettre les travaux, ce qui peut entraîner le vidage de la liste d'imprimantes générée automatiquement ou l'échec des demandes d'impression.

Pour mettre une imprimante à la disposition des clients PME, les étapes à suivre sont :

  1. Sur la page principale du module, cliquez sur le lien *Créer un nouveau partage d'imprimante* au-dessus ou en dessous du tableau. Cela vous amènera au formulaire de création de partage d'impression illustré ci-dessous.
  2. Dans le nom de partage , assurez-vous que le premier bouton est sélectionné et entrez un nom alphanumérique unique pour votre partage dans la zone de texte, comme hplaser . Cela devrait être le même que le nom de l'imprimante Unix que vous sélectionnez à l'étape suivante pour éviter toute confusion. Si un partage d'imprimante créé automatiquement avec le même nom existe déjà, ce nouveau le remplacera.
  3. Depuis l'imprimante Unix , sélectionnez l'imprimante à mettre à la disposition des clients SMB. Cette liste est extraite du module Printer Administration (traité au chapitre 22). Si par défaut est choisi, l'imprimante par défaut du système d'impression sera utilisée.
  4. Pour désactiver cette imprimante afin qu'elle ne puisse pas être utilisée, modifiez la valeur Disponible ? champ sur Non .
  5. Pour masquer cette imprimante de la liste qui s'affiche lors de la navigation sur le serveur, modifiez le paramètre Browseable ? champ sur Non . Il sera toujours directement accessible en utilisant un chemin \\servername\printername.
  6. Dans le répertoire Spool vous pouvez entrer le nom d'un répertoire dans lequel les fichiers temporaires pour l'impression sont stockés. Laissez-le vide pour utiliser la valeur par défaut de Samba, qui fonctionnera généralement bien.
  7. Dans le Commentaire de partage , entrez une courte description pour cette imprimante, telle que Office HP Laserjet 5 .
  8. Cliquez sur Créer bouton pour ajouter le partage à la configuration Samba. Votre navigateur sera renvoyé à la page principale du module qui inclura désormais la nouvelle imprimante dans le tableau.
  9. Cliquez sur le nouveau nom de partage pour afficher sa page d'édition.
  10. Cliquez sur Sécurité et contrôle d'accès icône pour afficher le formulaire de sécurité du partage.
  11. L'accès invité ? détermine si les clients sont autorisés à imprimer sur cette imprimante sans se connecter au serveur. Les options disponibles sont :Aucune Seuls les utilisateurs authentifiés auront accès. Oui Tout le monde sera autorisé à accéder au partage, mais les clients non authentifiés seront traités comme des invités. Les clients qui se sont connectés auront des travaux d'impression soumis sous leurs noms de connexion. Invité uniquement Tous les clients, authentifiés ou non, seront traités comme des invités.
  12. Pour définir l'utilisateur Unix sous lequel les invités soumettent les travaux d'impression, modifiez l'utilisateur unix invité domaine. Cela n'a pas beaucoup d'importance, sauf si votre système d'impression est configuré pour bloquer certains utilisateurs.
  13. Cliquez sur Enregistrer en bas du formulaire pour revenir à la page d'édition de l'imprimante.
  14. Cliquez sur Options de l'imprimante icône.
  15. Si cette imprimante doit être utilisée par des clients Windows et qu'aucun pilote Unix n'est installé, entrez sa marque et son modèle complets dans le pilote d'imprimante domaine. Cela doit correspondre exactement au nom sous lequel Windows fait référence à l'imprimante, afin que les clients sachent quel pilote installer. Si Aucun est sélectionné, les utilisateurs qui ajoutent cette imprimante à leurs systèmes Windows seront invités à choisir le modèle d'imprimante dans une liste à la place. Si l'imprimante Unix sélectionnée à l'étape 3 est déjà configurée avec un pilote, les clients doivent soumettre les travaux au format Postscript au lieu du format de données natif utilisé par l'imprimante (car le pilote effectuera la conversion). Dans ce cas, vous pouvez entrer le nom d'une imprimante qui utilise Postscript nativement, comme Apple LaserJet II .
  16. Enfin, cliquez sur Enregistrer bouton sur ce formulaire. Le partage d'imprimante est maintenant prêt à être utilisé par les clients Windows.
Créer un partage de fichiers

Comme pour les partages de fichiers, les imprimantes peuvent être modifiées et supprimées en cliquant sur leur nom dans le tableau de la page principale du module. Les imprimantes spéciales Le partage peut également être modifié - cependant, de nombreuses options n'ont pas de sens à définir, telles que l'imprimante Unix ou Pilote d'imprimante .

Afficher et déconnecter les clients

Chaque client qui accède à un partage de fichiers ou d'imprimantes sur votre système dispose d'une connexion au serveur Samba, et ces connexions peuvent être visualisées à l'aide de ce module. Les clients peuvent également verrouiller les fichiers qu'ils ont ouverts pour les modifier, ce qui empêche les autres de les ouvrir. L'une des tâches du serveur est la maintenance de ces verrous, qui sont associés à des sessions et que vous pouvez également visualiser. Si un client tombe en panne sans se déconnecter correctement, tous les verrous qu'il détient resteront jusqu'à l'expiration de la connexion TCP, ce qui peut prendre un certain temps. Pour cette raison, le module permet de tuer des sessions clientes et ainsi de libérer leurs verrous.

Pour afficher et supprimer des sessions client, procédez comme suit :

  1. Sur la page principale du module, cliquez sur Afficher toutes les connexions lien au-dessus ou au-dessous du tableau des partages pour afficher une liste de toutes les connexions au serveur. Vous pouvez également cliquer sur une imprimante ou un partage de fichiers, puis sur Afficher les connexions sur sa page d'édition pour afficher une liste des seules connexions à ce partage particulier.
  2. Dans tous les cas, la page qui s'affiche répertorie les partages actuellement utilisés et indique pour chacun le nom de l'utilisateur connecté, l'hôte à partir duquel il s'est connecté, l'heure de la connexion et tous les fichiers verrouillés. Dans la colonne la plus à gauche se trouve l'ID du sous-processus du serveur Samba qui gère cette connexion. Généralement, plusieurs connexions du même système client à différents partages seront gérées par un seul processus.
  3. Pour tuer un processus et ainsi rompre toutes les connexions qu'il gère, cliquez sur son ID de processus dans la première colonne. Tous les verrous détenus par le client seront libérés, libérant les fichiers pour une utilisation par d'autres. Vous ne devez tuer que les connexions des clients qui se sont vraiment écrasés - le fait de tuer la session d'un client actif peut entraîner la corruption de tous les fichiers qu'il a ouverts. Cependant, il est généralement sûr de couper une connexion à un client Windows sans fichiers ouverts, car elle sera immédiatement et de manière transparente rétablie par le client lors de la prochaine ouverture d'un fichier sur le partage.

Modification des options de sécurité du partage

Une fois qu'une imprimante ou un partage de fichiers a été créé, vous pouvez modifier diverses options liées à la sécurité qui contrôlent qui y a accès et à partir de quels hôtes ils peuvent se connecter. Cela peut être utile si certains partages contiennent des fichiers auxquels seules certaines personnes devraient avoir accès, ou si votre serveur Samba est destiné à être utilisé par des clients uniquement sur votre réseau interne.

Pour modifier les options de sécurité du partage, les étapes à suivre sont :

  1. Sur la page principale du module, cliquez sur le nom du partage dans le tableau pour faire apparaître son formulaire d'édition, puis sur l'icône *Security and Access Control*.
  2. Comme expliqué dans la section Ajouter un nouveau partage de fichiers section, la section Writable ? et Accès invité ? les champs déterminent si le partage peut être écrit et si une authentification est nécessaire. L'utilisateur Unix invité Le champ définit l'utilisateur que les fichiers sont lus et écrits comme par les clients invités. Modifiez-les à nouveau ici si vous le souhaitez.
  3. Pour autoriser uniquement certains hôtes à accéder à ce partage, sélectionnez le deuxième bouton radio dans les Hôtes à autoriser et entrez une liste de noms d'hôte et d'adresses IP dans la zone de texte adjacente. IP partielles comme 192.168.1. ou des adresses réseau telles que 192.168.1.0/255.255.255.0 peuvent être utilisées pour autoriser un réseau entier. Si votre système est un client NIS, vous pouvez saisir un nom de groupe réseau précédé d'un @_ (comme _@serveurs ) pour autoriser tous les membres du groupe. Si Tous est sélectionné, tous les hôtes auront accès, sauf si vous remplissez le champ suivant. Peu importe ce que vous saisissez, les connexions à partir de l'hôte local (127.0.0.1) sont toujours autorisées, à moins qu'il ne soit spécifiquement répertorié dans le champ *Hôtes à refuser*.
  4. Pour empêcher des hôtes spécifiques d'accéder à ce partage, remplissez les Hôtes à refuser champ avec une liste similaire de noms d'hôte, d'adresses IP, de réseaux ou de groupes réseau. Si les deux champs sont remplis, Hôtes à autoriser prime. Si Aucun est sélectionné, tous les hôtes seront autorisés.
  5. Pour autoriser uniquement certains utilisateurs à accéder à ce partage, remplissez les Utilisateurs valides champ avec une liste de noms d'utilisateurs séparés par des espaces. Vous pouvez également renseigner les Groupes valides avec une liste de groupes dont les membres principaux et secondaires seront autorisés à accéder. Ce n'est que si les deux listes sont vides que tous les utilisateurs seront autorisés.
  6. Alternativement, pour refuser des utilisateurs spécifiques et des membres de groupes, remplissez le champ Utilisateurs non valides et Groupes non valides des champs. Si un utilisateur apparaît à la fois dans les listes valides et non valides, l'accès lui sera refusé.
  7. Pour limiter certains utilisateurs à un accès en lecture seule pour ce partage, entrez une liste de noms d'utilisateur dans les Utilisateurs en lecture seule domaine. Vous pouvez également entrer une liste de groupes Unix dans les Groupes en lecture seule restreindre leurs membres principaux. Tout le monde aura un accès complet en lecture/écriture, en supposant que le partage est réellement accessible en écriture et que le Lecture/écriture les champs n'ont pas été remplis.
  8. Pour n'autoriser que certains utilisateurs à écrire sur le partage et restreindre l'accès en lecture seule à tous les autres utilisateurs, entrez une liste de noms d'utilisateur dans les Utilisateurs en lecture/écriture domaine. Comme d'habitude, les groupes de lecture/écriture peut être utilisé pour saisir une liste de groupes dont les membres principaux seront également autorisés à écrire. Naturellement, les autorisations de fichiers Unix normales qui peuvent empêcher l'écriture dans des fichiers ou des répertoires s'appliquent toujours à tous les utilisateurs. Si un utilisateur apparaît à la fois dans le Lecture seule et Lire/écrire listes, il sera autorisé à écrire. Les champs de cette étape et de l'étape précédente n'ont aucun effet sur les partages d'imprimantes. Au lieu de cela, tous les utilisateurs autorisés pourront imprimer.
  9. Lorsque vous avez terminé de modifier les options de sécurité des fichiers, cliquez sur Enregistrer bouton en bas de la page pour activer les nouveaux paramètres.

En plus de définir des options de sécurité pour un partage unique, vous pouvez définir des valeurs par défaut pour tous les partages qui s'appliqueront à moins qu'elles ne soient remplacées dans des partages individuels. Pour ce faire, cliquez sur Paramètres par défaut du partage de fichiers icône sur la page principale du module au lieu du nom d'un partage, puis sur Sécurité et contrôle d'accès . Certains paramètres, tels que les listes d'hôtes à autoriser ou à refuser, doivent être définis globalement, car vous souhaitez probablement limiter l'accès à l'ensemble de votre serveur à un réseau de confiance. Consultez la section Modification des valeurs par défaut du partage plus loin dans le chapitre pour plus d'informations sur le fonctionnement des valeurs par défaut.

Modifier le partage de sécurité

Modification des paramètres d'autorisation de fichier

Les partages de fichiers ont plusieurs paramètres liés aux autorisations Unix et à la propriété des fichiers qu'ils contiennent qui peuvent être définis globalement ou par partage. Étant donné que les clients Windows et le protocole SMB n'ont aucun concept d'autorisations, il est utile d'avoir un moyen de définir les valeurs par défaut pour les nouveaux fichiers et répertoires sur une base par partage. Pour ce faire, procédez comme suit :

  1. Sur la page principale du module, cliquez sur le nom du partage pour lequel vous souhaitez définir des autorisations, puis sur les Autorisations de fichier icône sur sa page d'édition.
  2. Dans le mode Nouveau fichier Unix , entrez les autorisations octales (telles qu'utilisées par la commande chmod) qui doivent être attribuées aux fichiers nouvellement créés. Par exemple, mode 600 autoriserait la lecture et l'écriture par le propriétaire mais refuserait complètement l'accès à quiconque.
  3. En mode Nouveau répertoire Unix , entrez les autorisations octales pour les répertoires nouvellement créés. Par exemple, 755 autoriserait la liste et la lecture par tout le monde, mais n'autoriserait que le propriétaire à créer des fichiers dans le répertoire.
  4. Pour que certains répertoires apparaissent toujours vides pour les clients SMB, saisissez une liste de chemins complets séparés par des virgules dans le champ *Répertoires à ne pas répertorier*. Par exemple, vous pouvez saisir /proc,/dev pour cacher le contenu de ces deux répertoires, qui sont généralement inutiles aux clients Windows.
  5. Pour forcer tous les clients à accéder aux fichiers en tant qu'utilisateur Unix spécifique (au lieu de l'utilisateur sous lequel ils se sont connectés), remplissez le champ *Force Unix user*. Cela peut être très utile pour un partage dans lequel différentes personnes modifient les documents les uns des autres, car cela évite les problèmes d'autorisation Unix qui peuvent survenir si les fichiers appartiennent réellement à leurs créateurs. Par défaut, le groupe auquel les fichiers sont accessibles sera le groupe principal de l'utilisateur spécifié. Pour changer cela, renseignez le groupe Forcer Unix terrain aussi.
  6. Étant donné que les clients Windows SMB ne prennent pas en charge les liens symboliques Unix, Samba lit ou écrit toujours le fichier lié lorsqu'un client essaie de lire ou d'écrire un lien. Malheureusement, cela présente un risque potentiel pour la sécurité, car un lien symbolique pourrait être créé qui pointe vers un fichier normalement inaccessible en dehors du répertoire partagé. Pour éviter cela, modifiez le champ *Autoriser les liens symboliques en dehors du partage ?* sur Non .
  7. Sur les systèmes de fichiers Unix, les fichiers qui sont en lecture seule pour un utilisateur peuvent toujours être supprimés si le répertoire est accessible en écriture. Ce n'est pas le cas sur les systèmes de fichiers Windows normaux, c'est pourquoi Samba l'empêche de se produire. Pour changer cela et laisser la sémantique du système de fichiers Unix s'appliquer, modifiez le champ *Peut supprimer les fichiers en lecture seule ?* sur Oui .
  8. Cliquez sur Enregistrer en bas de la page pour activer les nouvelles options de sécurité des fichiers.

En tant que Partage d'édition par défaut section explique plus en détail, vous pouvez modifier les paramètres d'autorisation de fichier pour tous les partages en cliquant sur Paramètres par défaut du partage de fichiers icône sur la page principale, suivie de Autorisations de fichier . Celles-ci s'appliqueront à moins qu'elles ne soient annulées pour une action par les instructions ci-dessus.

Modifier les autorisations de fichier

Modification des options de nommage des fichiers

Samba a plusieurs options qui contrôlent la façon dont les noms de fichiers Unix sont convertis en noms adaptés aux systèmes Windows. De nos jours, la plupart d'entre eux ne sont plus nécessaires, car les versions Windows 95 et supérieures ont pu prendre en charge correctement les noms de fichiers longs. Seuls Windows 3.1 et DOS étaient bloqués avec l'ancien format de nom de fichier 8.3, et ils ne sont plus guère utilisés.

Pour modifier les options de dénomination d'un partage qui sont pertinentes pour les clients modernes, procédez comme suit :

  1. Cliquez sur le nom du partage sur la page principale du module, puis sur le Nom du fichier icône.
  2. Lorsque le Sensible à la casse ? le champ est défini sur Non , le serveur ignorera la casse lors de l'ouverture des fichiers demandés par les clients. C'est ainsi que fonctionnent les systèmes de fichiers Windows et c'est donc également le comportement par défaut de Samba. Cependant, il consomme plus de temps CPU et de bande passante E/S en raison de la nécessité d'analyser les répertoires, car tous les systèmes de fichiers Unix sont sensibles à la casse. Pour cette raison, vous pouvez sélectionner Oui à la place, si tous vos clients sont des systèmes Linux qui s'attendent à ce que la règle de cas Unix s'applique normalement.
  3. Normalement, Samba créera des fichiers avec la casse exacte spécifiée par les clients. Pour changer cela et forcer l'utilisation de majuscules ou minuscules à la place, modifiez le Conserver la casse ? champ sur Non et sélectionnez l'une des options dans le Cas par défaut ? domaine. Cela peut être utile si les clients Windows créent de nombreux fichiers en majuscules alors que vous préférez suivre la norme Unix normale en minuscules.
  4. Sur les systèmes de fichiers Windows, chaque fichier a un attribut masqué qui détermine s'il est normalement visible ou non par les programmes. Aucun attribut de ce type n'existe sur les systèmes Unix - à la place, les fichiers dont les noms commencent par un point sont cachés par ls et d'autres commandes. Pour cette raison, Samba définit l'attribut caché sur les fichiers de points lorsque le Masquer les fichiers de points ? le champ est défini sur Oui , comme c'est le cas par défaut. L'alternative consiste à utiliser le bit d'exécution mondial des autorisations de fichier Unix comme indicateur caché, car les autorisations d'exécution ne sont pas utilisées par Samba. Pour activer ce comportement, modifiez l'indicateur Save DOS hidden ? champ sur Oui . Étant donné que cela gâchera les autorisations des programmes Unix accédant aux fichiers du partage, il ne doit être utilisé que si le répertoire partagé n'est accessible qu'aux clients SMB.
  5. Les fichiers Windows ont deux attributs supplémentaires - l'indicateur d'archive qui indique qu'un fichier a été sauvegardé et l'indicateur système qui marque un fichier système normalement intouchable. Samba peut être configuré pour stocker ces attributs dans les bits d'exécution par l'utilisateur et par le groupe des fichiers si l'indicateur Enregistrer l'archive DOS ? et Enregistrer l'indicateur système DOS ? les champs sont définis sur Oui respectivement. Si vos clients Windows n'ont pas besoin de ces informations ou si vous constatez que les autorisations sur les exécutables et les scripts Unix sont perturbées, définissez-les tous les deux sur Non Au lieu.
  6. Pour activer les nouveaux paramètres de nommage de fichier, cliquez sur Enregistrer bouton en bas de la page.

Encore une fois, ces options peuvent être définies pour tous les partages en cliquant sur Paramètres par défaut du partage de fichiers sur la page principale, suivi de *Nom de fichier*.

Modifier le nom du fichier

Modification d'autres options de partage de fichiers

Il existe quelques autres options de partage de fichiers liées au verrouillage et à l'exécution automatique de commandes que vous pouvez également définir à l'aide de ce module. Ceux utilisés pour le verrouillage contrôlent le comportement de Samba lorsqu'un client Windows tente de verrouiller un fichier pour obtenir un accès exclusif, afin qu'il puisse mettre en cache les données du fichier sans avoir à contacter le serveur pour chaque lecture ou écriture. By default, locking is fully enabled and implemented in exactly the same way as it is on Windows servers, so there is generally no need to change these settings.

Samba can also be configured to run shell commands when a client connects or disconnects, either as root or as the connecting Unix user. This can be useful if you want to move newly added files to some other directory or perform some kind of processing on them.

To edit the module's other file sharing options, follow these steps :

  1. Click on the name of the share to edit on the main page, and then on the Miscellaneous Options icon on the share editing page that appears.
  2. If this share is exclusively for read-only use (for example if you are sharing some kind of read-only media like a CD), then the Fake oplocks? field can be safely changed to Yes to boost performance. This tells Samba to simply grant all lock requests by clients and not to bother actually keeping track of who has locked what, which can boost performance. None of the other locking fields should be touched unless you really know what you are doing, as the defaults will work fine and any other settings may lead to data corruption if multiple clients try to access the same files.
  3. To limit the number of clients that can be connected to this share at any one time, select the second radio button in the Max connections field and enter a number into the adjacent text box. This can be useful if you want to limit the load on your system. If Unlimited is selected, no maximum will be placed on the number of concurrent connections.
  4. The fields Command to run on connect and *Command to run on disconnect* allow you to enter shell commands that will be run by Samba as the authenticated user at connection and disconnection time. They will always be run in the share directory, and special % codes like %U for the connecting user or %S for the server name can be used in the command.
  5. Similarly, the Command to run on connect as root and *Command to run on disconnect as root* fields can be used to enter shell commands that will always be run as the Unix root user. However, they will be run in root's home directory instead.
  6. Hit the Save button to activate the new locking and command settings.

One thing to remember about locking and Samba is that locks taken out by SMB clients will not generally effect or be detectable by Unix programs or NFS clients. This means that data corruption can still happen if Unix and Windows programs open the same file, or if the same NFS exported directory is shared by two different Samba servers.

Samba - Miscelleanous File Defaults

Editing printer share options

Once a printer share has been created, there are several options that you can set for it. Most of them relate to the commands that Samba will run to print a new job, list the queue or cancel a job. By default, appropriate commands for the print system in use (explained in the Configuring printers section) will be used - however, there are times that you will want to specify additional parameters or even use a completely different command.

To edit printer options for a share, follow these instructions :

  1. On the module's main page, click on the name in the table of the printer share that you want to edit. On the form that appears, hit the Printer Options icon at the bottom of the page.
  2. To prevent clients using up all the disk space in the printer's spool directory with large jobs, change the *Minimum free space* field. You must enter a number of kilobytes that will always be left free on the filesystem.
  3. To change the command that Samba will run to print a submitted file, edit the Print command domaine. The special codes %f (for the temporary file to print) and %p (for the printer name) can and should be used in the command, so that you can enter for example something like lpr -P%p %f ; rm %f . Your command must always delete the temporary file (as the example does), as the server will not do this for you. All the usual shell meta-characters like ;, &and> can be used, which allows you to enter quite complex series of commands. Whatever command you enter will always be run as the Unix user connected to the printer share.
  4. To edit the command that Samba uses to list jobs waiting to be printed on some printer, select the second radio button in the Display queue command field and fill in its text box. Whatever you enter must produce output in the format generated by the standard BSD lpr command so that Samba can parse. If the special code %p appears in the command, it will be replaced with the name of the printer.
  5. Similarly, you can change the commands that Samba runs to delete, pause and un-pause a print job by editing the *Delete job command*, Pause job command and Unresume job command fields respectively. All can and should use the codes %p for the printer name, and %j for the job ID. For most print systems, there are no defaults for the pause and un-pause commands as those features are not supported. Generally you will not need to change these fields.
  6. As the Adding a new printer share section explains, the Printer driver field can be used to enter the model of the attached printer (as recognized by Windows) so that clients can automatically select the right driver.
  7. When you are done with this page, hit the Save button to update the Samba configuration file and thus activate the new settings.

You can also edit these settings for all shares by clicking on the Printer Share Defaults icon on the module's main page and then on Printer Options . In fact, all of the command options make much more sense to edit globally as the same commands are likely to be needed for all printers.

Editing share defaults

As the previous few sections in this chapter have mentioned, the Samba configuration allows you to define defaults that apply to all shares unless specifically overridden. This can be done by clicking on either the File Share Defaults or Printer Share Defaults icon on the main page, editing the contents of the form that appears and hitting Save . However, most of the options in this form are not particularly useful to set globally, except maybe Available? and Browseable? .

More usefully, you can click on one of the icons on the defaults page and change settings that will apply to all file or printer shares. In the case of the Security and Access Control icon (which appears on both pages), and global defaults that you set will apply to both file and printer shares, as Samba does not differentiate between them.

Any option that is set globally will appear as the default on per-share forms. For example, if you fill in the Delete job command field under Printer Options on the Printer Share Defaults page and then went to the same page for a specific printer, the same value would appear. Even though the command does not actually appear in the configuration file for the printer, Webmin still displays it because as the default it will be used. Of course, if you enter a different command for the share, it will override the global setting and thus be used and display instead. This behavior may be a little confusing, as it is not the way that other Webmin modules usually work.

Configuring networking

This module can be used to set various Samba options that control how the entire server appears to and behaves for Windows clients. You can change the workgroup (under which the system is listed in the network neighborhood display), the server's name and any aliases, and the description that appears next to the name. Options related to the file sharing protocol and authentication method used can also be edited, in order to support old clients.

Windows Networking options

It is even possible to set up your system as a WINS server or client, a protocol that some Windows clients use to find IP addresses for SMB server names if DNS is not available. The biggest difference between WINS and DNS is that clients can register their own names and IP addresses with a WINS server, rather than having it done by an administrator. It is most useful on small file-sharing networks that do not have a DNS server.

To edit these windows networking options, the instructions to follow are :

  1. On the module's main page, click on the Windows Networking icon in the Global Configuration section to bring up the form shown in the screenshot below.
  2. To set a workgroup for your server, select the second radio button in the Workgroup field and enter a short name into the text box next to it. If your network already has a few SMB servers that are members of a workgroup, this server should be made a member too.
  3. If your network already has a WINS protocol server, select Use server in the WINS mode field and enter its IP address. If not, you should choose Be WINS server so that Windows clients can use your system to lookup IP addresses for SMB server names. More recent versions of Windows (and Linux clients) do not need to use WINS, as they can look up server names in the DNS - assuming your network has a DNS server that has entries for all your hosts.
  4. To set a description for your system, fill in the Server description field with something like Corporate file server .
  5. Normally, Samba will use the first part of your system's DNS name as the SMB server name. To change this, enter something else in the Server name domaine. Clients will be able to refer to this server by whatever name you specify.
  6. To define alternate names that clients can use to refer to your server, fill in the Server aliases field with a space-separate list of names.
  7. If you want your system to be the master browser for a network (the server that maintains lists of other SMB servers and clients on the network, as seen in Window's network neighborhood), change the Master browser? field to Yes . If you are running multiple Samba servers on the same subnet, this option should be set for only one. If there are other Windows or Samba servers on the network that want to be master browsers, the one with the highest operating system level will win the 'election' that decides who gets the job. You can increase your system's change of winning by increasing the Master browser priority field - the default of 20 will win against Windows 95 systems, but you would need to enter 65 to beat Windows NT servers.
  8. To have your Samba server contact another SMB server to validate passwords instead of checking its own user list, select *Password server* from the Security menu and enter the other server's hostname or IP address in the Password server domaine. Otherwise, leave the field set to Default or User level . Share level security is rarely used anymore with modern clients, and Domain security is too advanced to cover in this chapter.
  9. Normally, an SMB server broadcasts information about itself to other servers on the network so that it can be included in browse lists. However, if your network spans multiple subnets then broadcasts from one system may not reach others. To get around this problem, the Remote announce to table can be used to specify the addresses of browser master servers to which this server's IP address and workgroup should be sent. To configure remote announcements on this page, first select the From list option above the table. Then in the IP address field of each row enter the hostname or IP address of a server to announce to, and in the As workgroup field the name of the workgroup that your server should appear under. If the second field is left empty, the servers real workgroup (set in step 2) will be used. To enter more than two remote servers you will need to save and re-open this page so that more empty rows appear in the table.
  10. Enfin, cliquez sur Enregistrer button to activate the new networking settings.
Unix Networking options

Samba also has numerous global options related to networking that control such things as the IP address to listen on, whether to send keep-alive packets and how long clients can be idle for before they are disconnected. These can be used to tune your server's performance, or limit access to only clients on a local network. To edit them, follow these steps :

  1. Click on the Unix Networking icon on the module's main page.
  2. To have Samba disconnect clients that have been inactive for too long and do not have any files open, select the second radio button in the Idle time before disconnect field and enter a number of minutes into the adjacent text box. If Never is selected instead, clients will never be automatically cut off. Because Samba starts one server sub-process per client, this feature is useful for cutting down the amount of memory that they use up. And Windows clients will automatically re-connect if disconnected, so there is no down side to using it.
  3. To have Samba send packets to detect if clients have crashed without properly disconnect, select the Send every option in the Keepalive packets field and enter the number of seconds (such as 60) that a packet should be sent. Because clients can hold locks on files, a dead client may end up locking a file that other people need access to, even though it is clearly not using it. The same thing can be achieved by selecting the SO_KEEPALIVE checkbox in the Socket options domaine. This tells the operating system kernel to do basically the same thing, and so should be used in preference. The only problem is that you cannot specify the keep-alive packet interval.
  4. To restrict Samba to listening for connections on a single one of your system's IP addresses, fill in the Listen on address domaine. On a machine with one interface connected to an internal network and one connected to the Internet, this feature can be used to prevent outsiders connecting to your Samba server.
  5. Hit the Save button at the bottom of the page to activate the new network settings.

As you will see when you look at the actual form, there are many more fields on it than those documented above. However, the rest have extremely specialized uses and thus do not need to be touched by the average administrator.

Configuring authentication

Authentication

The SMB protocol allows users to change their passwords for a server from a client system. For a Samba server, this causes the encrypted passwords file to be updated, assuming one is in use (as is usually the case). You can also configure the server to change the user's Unix password as well, which makes sense if they are being kept synchronized.

Another authentication-related feature supported by Webmin is username mapping. This allows you to map fake client login names to real Unix usernames, and can be useful if users prefer to use their full names to login (like Jamie Cameron instead of jcameron ) or if you have a client that is regularly moved between two different networks, each of which has different SMB accounts.

To set these global authentication options using this module, the steps to follow are :

  1. On the module's main page, click on the Authentication icône.
  2. As explained in the Managing Samba users section, the *Use encrypted passwords?* field determines if Samba uses its own separate password file or the standard Unix user database. Because all recent versions of Windows use a password encryption format that is incompatible with the Unix format, this field should generally be set to Yes .
  3. To allow logins by users who have no password set, select Yes for the Allow null passwords? domaine.
  4. The Password program field sets the program that Samba will use to change a user's Unix password if synchronization is enabled. If Default is selected /bin/passwd will be used, which is correct for most Unix systems. You can enter a different command by selecting the second radio button and fill in the text box with something like _/usr/bin/yppasswd %u_. The %u code is replaced with the name of the user whose password is being changed, and is required because the command is run as root.
  5. To have same change a user's Unix password when his SMB password is changed over the network, set the *Change Unix password as well?* field to Yes . Synchronization in the other direction is unaffected though - see the Managing Samba users section for more details on how that works.
  6. To define 'fake' SMB accounts, select Listed below in the Username mapping domaine. In the table below it, each row specifies a mapping - the first field must contain a valid Unix username, and the second an SMB login name of your choice. Clients logging in with one of these made-up account names must of course provide the correct password for the associated Unix user.
  7. Hit the Save button at the bottom of the page to activate your new authentication settings.

Configuring printers

If you are sharing printers from your server, you will probably need to adjust the global printing options. These determine the print system commands that Samba will use to submit, list and delete jobs, the file it gets the list of printers from, and other related settings. To edit them, the steps to follow are :

  1. Click on the Windows To Unix Printing icon on the module's main page to bring up the printer options form.
  2. From the Unix print style menu select the type of print system in use on your box. Unfortunately, practically every different flavor of Unix has its own set of programs and configuration files for handling printers and print drivers, each of which must be treated differently by Samba. The options that you may want to select from are :
    • BSD The traditional Unix print software, found on FreeBSD, NetBSD and older Linux distributions.
    • SYSV The print system used on Solaris, UnixWare and a few other versions of Unix.
    • HPUX The print system shipped with HP/UX.
    • AIX The print software that comes with AIX, IBM's version of Unix.
    • CUPS The superior Common Unix Print System, which is included with many new Linux distributions.
    • LPRNG An improved version of the old BSD print system, used on all Linux systems that do not run CUPS. Most packages of Samba will have this option set correctly in the default configuration file. The PrinterAdministration page explains in more detail what the differences between the various print systems are, and how to select the right one for your operating system.
  3. Normally, Samba will find all the printers on your system and make them visible to clients when the special printers share exists. To disable this, change the Show all printers? champ sur Non Au lieu. The printers will still be accessible using an explicit \\_servername_\_printername_ path though.
  4. When the Printcap file field is set to Default , Samba will get the list of printers available on your system from the standard /etc/printcap file. This is fine if you want them to all show up, but sometimes you want to hide some printers from users. To do this, create a fake printers file that looks {| border="1" |- like :printer1||Description for printer 1:printer2||Description |} of second printer:And set this field to the path to this file. Only the printers listed in it will be available automatically when a printers share exists.
  5. Samba caches the output from whatever command is used to list waiting print jobs (such as lpq) in order to reduce the frequency with which it is run. By default this cache time is 10 seconds, but you can increase or decrease it using the *Printer status cache time* field. If your lpq command is very slow you may want to increase it.
  6. Hit the Save button to activate your new printing settings.


Module access control

As WebminUsers explains, once a Webmin user has been granted access to a module he can be further restricted to only a subset of its functions. For the Samba module, you can allow a user to edit only certain types of settings in certain shares while denying him the ability to create new shares or edit global options. This can be useful if you want to let someone edit the settings that apply to the sharing of only his own directory, while protecting the rest of the Samba server's configuration.

I would advise against granting even limited access to this module to un-trusted users though, as it has many features that could be used by a malicious to gain root access to your system. For example, someone could allow guest access to a share with root permissions, allowing the remote modification of any file. Or they could set the command run as root at client connection time to something that changes the root password.

Instead, these access control features are should only be used to limit the changes that an in-experienced but still trusted user can make. To restrict such a user to only editing a few shares, the steps to follow are :

  1. In the Webmin Users module, create a user with access to the module, or modify an existing user to give him access.
  2. Click on Samba Windows File Sharing next to the name of the user to bring up the module access control form.
  3. Modifier le Peut modifier la configuration du module ? champ sur Non .
  4. Set all the fields from *Can apply changes? *down to *Can maintain auto UNIX to SAMBA users sync?* to No as well, as they control access to global settings that the user should not touch.
  5. To hide shares that he cannot access from the user, change the Hide inaccessible objects? field to Yes . Leaving it set to No lets him see other shares, but if he tries to click on any of them an error message will appear.
  6. In the Access file shares field, de-select create but leave read and write choisi. Do the same for the *Access print shares* field. This does not mean that he can edit all shares - later fields control exactly which ones he can configure.
  7. Change the Enable per-file_share acls? and *Enable per-print-share acls?* fields to Yes , so that the options set in the next step are used.
  8. In the Per-share ACLs table, select n/a under *Access share* and Connections for all the shares that he should not be allowed to configure. You should definitely do this for the global share as well, as it sets the defaults for all others. For the shares that you do want the user to manage, select read write in the Access share colonne. To allow the user to kill clients connected to this share, select kill in the Connections column - or to let him only see connected clients, choose view Au lieu. The former option is not a good idea security-wise though, as it allows the user to terminate any process on your system. The radio buttons in the security , permissions , file naming and *miscellaneous or printer* columns control which of the sub-icons on the share editing form the user has access to. For each you can choose either edit to allow editing, view to only let him look at the settings or n/a to deny access altogether.
  9. Hit the Save button at the bottom of the page to activate the new access control settings.

Configuring the Samba Windows File Sharing module

The module assumes that you have installed the Samba package available for your operating system or Linux distribution, or have compiled Samba from source code if no such package is available. If this is not the case (for example if you have compiled the latest version instead of using a package), the paths that it uses for the Samba programs and configuration files will be wrong. This will cause the module's main page to incorrectly display an error message about Samba not being installed.

Fortunately, these paths can be easily changed by clicking on the standard Module Config link in the top-left corner of the main page. On the form that appears if you follow this link are fields that control the module's user interface (under *Configurable options*) as well as the fields for configuration file and program paths (under System configuration ). The first group of settings can be safely changed at any time, but those that set paths do not generally need to be adjusted as the defaults are usually correct.

Contenu

Edit Config File

The samba configuration file can be manually edited as well:

Samba - Edit Config File

Accessing SWAT from Webmin

Note: Samba 4 does not contain SWAT anymore.

SWAT (which stands for Samba Web Administration Tool) is a program similar to Webmin's Samba module, but included as standard with Samba itself. It provides a web-based administration interface to the configuration file that allows you to create and edit shares and global settings. SWAT is usually run from a super-server like inetd or xinetd, which makes it appear as a web server, usually on port 901 . Most Samba packages for Linux include the program and an xinetd service for it, but have it disabled by default.

You can also access SWAT through this Webmin module, instead of needing to set it up to be run from inetd or xinetd. Unfortunately, this will not work if Samba has been configured to only allow connections from some IP addresses (using the Hosts to allow field) on the global Security and Access Control page. Because SWAT also uses Samba's configuration files, any IP restrictions that apply globally will apply to it as well. When it is run from Webmin, SWAT is unable to determine the connecting IP address and fails if any IP restrictions are in force.

Assuming that this is not the case on your system, you can use it by following these steps :

  1. On the module's main page, click on the SWAT icône. If this is the first time you have done so, the SWAT Login form will appear.
  2. If you do get the login form, enter root in the Username field and the root user's password in the Password domaine. Because it can be used to totally re-configure your Samba server, SWAT requires users to authenticate first. Webmin will remember the login and password that you enter so that the login form will be bypassed in future.
  3. After you have logged in the SWAT main menu will appear. Along the top are icons for various parts of the Samba configuration, which when clicked on bring up forms for editing settings. Some things that can be configured in Webmin cannot be in SWAT, and vice versa - so you may find it superior to the Webmin interface for some tasks.
  4. To return to the module's main page, click on the *Return to share list* link at the bottom of any page. To have Webmin forget your SWAT password so that you can login again, hit the *Logout of SWAT* link in the bottom-right corner.

Be aware that when you login to SWAT through this module, the username and password that you enter are stored un-encrypted in the file /etc/webmin/samba/swat which is readable only by root. If this bothers you for security reasons, either do not use this feature of the module, or remember to click the Logout of SWAT link after you are done using it so that the window of exposure is limited.


Webmin

  1. Comment configurer le serveur SAMBA et transférer des fichiers entre Linux et Windows

  2. Comment monter des partages Windows ou Samba de manière permanente

  3. Emplacement du fichier de configuration Samba ?

  4. Impossible de joindre le serveur Linux Samba au domaine Windows Active Directory

  5. substitut fcntl sous Windows

Comment configurer le serveur de partage de fichiers Samba sur Ubuntu

Comment convertir un fichier Windows en un fichier UNIX

Configurer le serveur Samba sur CentOS 8/RHEL 8 pour le partage de fichiers

Installer et configurer le serveur Samba sur Ubuntu pour le partage de fichiers

Comment installer et configurer le partage de fichiers Samba sur Ubuntu 20.04

Comment installer le serveur de partage de fichiers Samba sur le système Linux