SAMBA megosztáselrejtés

Linux-haladó

SAMBA megosztáselrejtés

  • 699 megtekintés

( Darkfish | 2004. 03. 30., k – 23:48 )

Hölgyeim és Uraim a feladat, amihez a segítségeteket kérem, a következő:
van két kis cég, aki közös szervert használ, de nem akarják egymás megosztásait látni.

Hogy kéne ezt megoldani SAMBA-val?

ui.:a feladat nem hasonlít a home könytár problémára!!!

( sunfire | 2004. 03. 31., sze – 01:35 )

[quote:85e1a5883f="Darkfish"]Hölgyeim és Uraim a feladat, amihez a segítségeteket kérem, a következő:
van két kis cég, aki közös szervert használ, de nem akarják egymás megosztásait látni.

Hogy kéne ezt megoldani SAMBA-val?

ui.:a feladat nem hasonlít a home könytár problémára!!!

Favago modszer:
2 db samba 2 kulonbozo porton
nmbd -p xx
smbd -p yy

ezutan mar csak par netfilter szabaly

( opaque | 2004. 03. 31., sze – 01:51 )

[quote:6218894745="Darkfish"]Hölgyeim és Uraim a feladat, amihez a segítségeteket kérem, a következő:
van két kis cég, aki közös szervert használ, de nem akarják egymás megosztásait látni.

Hogy kéne ezt megoldani SAMBA-val?

ui.:a feladat nem hasonlít a home könytár problémára!!!

(vonatkozo smb.conf-beli tulajdonsagok vastagitva)

1.) a megosztasokon jelszavakkal/felhasznalo szintu azonositas/...
valid users, invalid users, read list,guest ok=no,only user (ez utobbi foleg, ha megosztas szintu jelszavazas a divat arrafele :))
2.) gondolom a 2 ceg kulon subnet-en van, ekkor a megosztasokra is lehet:
hosts allow, hosts deny -t megadni (pl IP-cim alapjan: "192.168.1.")
(ha nincsenek kulon subnet-ben, akkor egyeb problemak is vannak ott (regen rossz), de
akkor nyugodtan "szetvaghatod oket", u.az a samba tobb alhaloban is tud kisozlgalni)
3.) ha permanensen mount-oltak ezek a megosztasok, akkor a tallozhatosag sem kell, igy az sem latszik,
h milyen nevu megosztasok vannak ott
browseable=no

tovabba:
* nem route-olsz a ket subnet kozott (legegeszsegesebb)
* ha megis route-olni kell, akkor az egyik haloban se legyen olyan WINS, ami a subnet-ek kozti atjarast tenne lehetove, kulonben a subnetekben logo tovabbi smb alapu kiszolgalo is megszolithato...

ui: mit ertesz "home konyvtar probleman" ?

( Darkfish | 2004. 03. 31., sze – 07:10 )

1, Ez a két SAMBA telepítés ügyes... hogy kell megoldani?
2, A felhasználonkénti, alhálozatonkénti megoldás van most is érvényben (meg két subnet stb.), de így az is látja a megosztást, akinek nincs joga oda belépni. Ezt akarom megszüntetni.
3, "home könyvtár probléma" mindenki csak a saját könytárát látja, a másét még listában sem.

( nagykutya | 2004. 03. 31., sze – 09:08 )

Hali!

netbios aliases = ceg1, ceg2
include = /usr/local/samba/lib/smb.conf.%L

természtesen a nevek és elérési utak átirandók :)

Ezután a hálózaton két gépként jelenik meg a samba a hálón, attól függően, hogy melyikhez csatlakozik a felhasználó, a rá vonatkozó adatokat include-olod.

( Darkfish | 2004. 03. 31., sze – 10:31 )

nagykutya Ön nagykutya!!!!

Frappáns, szép, tip-topp. :D :D :D

De megjött az étvágyam finomítsuk tovább:

a, két munkacsoport (bár ez arra is megoldás talán)
b, ne lássák egymás szervereit...

( nagykutya | 2004. 03. 31., sze – 13:12 )

a, két munkacsoport (bár ez arra is megoldás talán)
így van.

b, ne lássák egymás szervereit...
akkor lehet akár egy szerver is, csak mindenkinek mást mutatunk:
mindenki saját konfig fájlt kap

config file = /usr/local/samba/lib/smb.conf.%m
ahol:
%m - a kliens NetBIOS neve, helyette lehet:
%I - ip címe
%M - dns neve
vagy amit akarsz :)

( Darkfish | 2004. 03. 31., sze – 14:01 )

Vagy megnézem, hogy a usernek mi a unix csoportja(%g), és az alapján.

Csak azért vagyok bizonytalan, mert a user csak akkor látja a servert, ha egy munkacsoportban van vele, viszont amig nem néz rá, nem fut le config? De lehet, hogy feleslegesen izgulok.

Holnapra kiderül.

( nagykutya | 2004. 03. 31., sze – 14:28 )

Csak azért vagyok bizonytalan, mert a user csak akkor látja a servert, ha egy munkacsoportban van vele, viszont amig nem néz rá, nem fut le config? De lehet, hogy feleslegesen izgulok.

ebben van valami...
tartomanyvezérlőre gondoltál már?
mert ha oda belép, akkor már lefut a config...

( Darkfish | 2004. 03. 31., sze – 17:51 )

Igazból valami olyasmire gondoltam, hogy hogyan lehetne a két gépnév közül az egyiket "letiltani". De még nem jutottam semmire.

( Darkfish | 2004. 03. 31., sze – 17:54 )

tartomanyvezérlőre gondoltál már?
mert ha oda belép, akkor már lefut a config...

Nem, de ott szvsz ugyanaz a helyzet.

( Darkfish | 2004. 04. 07., sze – 23:47 )

Na nem állok jól.

Az újabb probléma a következő:
1, két külön alháló van, a gépek mégis látják egymást. Érdekes módon, a másik alhálóban levő gépeknek csak nevét látják, pl. pingelni már nem tudják. Az én tippem, hogyha bekapcsolom a linuxot, akkor ő lesz a főtallózó és "kiközvetíti" a gépeket a két alhálóra. A gond csak az, hogy OS LEVEL=2 -nél is ezt teszi. Hogy kéne letiltani ezt? Tudom be lehet állítani a local master=no-t, de az lehet a hiba, hogy a reggeli bekapcsolásnál miután csak ő megy , valahogy mégis megszerzi a tallózó szerepét.

2, Az egyik alhálóból a gépeket beengedi arra szerverre is, amelyikre nem kéne. (ip szerint elvileg le vannak tiltva). Érdekes módon, ez csak az egyik irányban van így.

Akinek ötlete van kérem ne sajnálja tőlem.

( begin | 2004. 04. 08., cs – 08:24 )

A netbios protokollok nem korlátozódnak IP alhálózatokra. Így minden egyes gép csomagja eljutnak minden egyes géphez... Szerintem nem megoldható a dolog.

( nagykutya | 2004. 04. 01., cs – 11:20 )

Igazból valami olyasmire gondoltam, hogy hogyan lehetne a két gépnév közül az egyiket "letiltani". De még nem jutottam semmire.

Az a helyzet, hogy miután a gép bejelentkezik, a névfeloldóhoz, mindenki számára látható lesz a hálózaton, így szerintem ez nem megoldható.

Nem, de ott szvsz ugyanaz a helyzet.

nem, mert a bejelentkezésnél megtörténik a hozzáférések feldolgozása, utána az már marad.

( Darkfish | 2004. 04. 08., cs – 08:35 )

[quote:856902a99d="begin"]A netbios protokollok nem korlátozódnak IP alhálózatokra. Így minden egyes gép csomagja eljutnak minden egyes géphez... Szerintem nem megoldható a dolog.

Ha a csomag el sem jut a célgéphez az TCP/IP természetéből adódóan (nem lehet pingelni), akkor szerintem nem ez a baj.

( Darkfish | 2004. 04. 01., cs – 13:32 )

Nos most volt 2 órám "játszani" a szerverrel. Úgy tünik, hogy a config file opció a globals részt picit bénán kezeli, de a többi jó. A béna alatt azt értem, hogy ha mindegyik külön konfigban beállítom a server stringet (vagy úgy tünik bármi mást a globalsból), akkor csak az utolsó ALIAS-ét fogja csak használni.

Ergó sem külön munkacsoport, sem külön alháló nem müxik...

A megosztások viszont jók. A másik dolog, hogyha az adott aliason nincs egy user egyáltalán fenn (egyetlen megosztásban sincs felsorolva), akkor be se engedi arra az aliasra. Így ugyan két szervert látnak, de egymás szerverire már nem "látnak" be.

Tesztelek még, aztán majd beszámolok. (2.2.3-as verzó)

( nagykutya | 2004. 04. 08., cs – 13:30 )

[quote:5cc5ff3080="Darkfish"]
Tudom be lehet állítani a local master=no-t, de az lehet a hiba, hogy a reggeli bekapcsolásnál miután csak ő megy , valahogy mégis megszerzi a tallózó szerepét.

Ha egyedül van, akkor ő lesz a főtallózó, amíg be nem jelentkezik egy másik gép a hálóra, ami "erőszakosabb", és el nem veszi tőle a jogot.

Ha beállítod a local master=no-t, azzal csak azt éred el, hogy minden kliens broadcast-olja a kéréseit, aztán majd vár jó sokáig, amíg mindenki be nem jelentjezik :)
(ez nálunk sok win-es géppel hosszú percekig tartott...)