ArchLinux Small Business Server (15) - File Server (8)

Terminiamo qui la parte File Server. Si potrebbe continuare per non sò quanto, ma tutto quello che potremmo dire sarebbe "Off Topic" in questa guida incentrata su ArchLinux. Tutto "il di più" sarebbe qualcosa di cross distro (sì può dire ?) ed esistono già valide guide sul web. Limitiamoci allora ad una lista di cose che potrebbero risultare utili e su cui magari sarebbe oppurtuno approfondire in modo autonomo.

Print services

Non abbiamo minimamente parlato delle condivisioni delle stampanti. Qui si aprirebbe un altro fronte che coinvolge CUPS e la distribuzione automatica dei drivers stampante ai client Windows. Samba supporta questa funzionalità, e il posto migliore dove apprendere questa tecnica sono le guide ufficiali.
Io personalmente non l'ho mai implementato non per pigrizia ma per le oramai onnipresenti stampanti con scheda di rete integrata a cui i client inviano direttamente le stampe. Tuttavia una sbirciatina non fà male.

Client grafici di amministrazione

Abbiamo già visto come sia possibile da Windows amministrare le permissions sulle share Samba. Esistono anche delle GUI che ci permettono di gestire utenti e password in modo semplice, specie se le opzioni da settare sono un po' esotiche, tipo la scadenza della password o la lista delle workstation da cui un utente può fare il logon. Ne esistono diversi, dall'ufficale Samba Web Adiministration Tool (SWAT) all' LDAP Account Manager. Possiamo usarne anche da Windows, ad esempio dal mio preferito (forse perchè fatto con Delphi ?) LDAP Admin, allo User Manager for Domains "ufficiale" fornito da Microsoft (non è uno scherzo) per amministrare i vari aspetti e flag.

Quota

Altro aspetto interessante è la gestione delle Disk Quota da assegnare ad utenti e gruppi. Questo, come per le ACL Posix, è un "affare" anche del file system, oltre che di Samba con il vfs objects = default_quota
Dopo averli installati con

sudo pacman -S quota-tools

Potete trovare informazioni sulla parte file system su come amministrarli e configurarli in giro per la rete, ad esempio qui. Per la parte Samba naturalmente la solita "bibbia" rappresentata dalle guide ufficiali.

Comandi Samba

Samba viene fornito con una serie di comandi utili all'amministratore, da pdbedit per amministrare utenti e gruppi alla pletora dei comandi net disponibili. Facciamo un paio di esempi, con il comando:

sudo net rpc rights list -U Administrator

ottengo questo:

     SeMachineAccountPrivilege  Add machines to domain

      SeTakeOwnershipPrivilege  Take ownership of files or other objects

             SeBackupPrivilege  Back up files and directories

            SeRestorePrivilege  Restore files and directories

     SeRemoteShutdownPrivilege  Force shutdown from a remote system

      SePrintOperatorPrivilege  Manage printers

           SeAddUsersPrivilege  Add users and groups to the domain

       SeDiskOperatorPrivilege  Manage disk shares

e vedo i permessi dell'utente Administrator. Potrei voler assegnare una "right" di amministrazione a qualche altro utente, e questo si fà con i comandi net rpc right.
Se digito :

sudo pdbedit -L -v Antonio

Ottengo

Unix username:        antonio

NT username:          antonio

Account Flags:        [UX         ]

User SID:             S-1-5-21-1491279793-2809991009-2777690449-11012

Primary Group SID:    S-1-5-21-1491279793-2809991009-2777690449-513

Full Name:            antonio

Home Directory:

HomeDir Drive:        K:

Logon Script:         antonio.bat

Profile Path:

Domain:               MEDE

Account desc:

Workstations:

Munged dial:

Logon time:           0

Logoff time:          never

Kickoff time:         never

Password last set:    0

Password can change:  0

Password must change: 0

Last bad password   : 0

Bad password count  : 0

Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

che sono tutte le impostazioni assegnate all'utente Antonio e che posso variare con pdbedit. Gran parte di queste le posso anche amministrare con il nostro netusermod, ma sicuramente il comando standard è più completo essendo parte di Samba.

I comandi man net e man pdbedit forniscono le informazioni di cui si ha bisogno.

Lock sui file

Stiamo amministrando un server con dei file condivisi, quindi il lock dei file è cosa vitale. In genere non ci sono problemi, Samba "standard" ci risolve già gran parte dei problemi, ma in alcuni casi (tipo il "solito" file access mdb condiviso) dovete metter manina voi.
Vi scontrerete ad esempio con il concetto di "Opportunistic Locking" inventato da Microsoft per aumentare le performance in rete, ma che in alcuni casi con Samba non produce gli effetti desiderati. Niente paura, vanno solo gestiti.
Anche in questo caso (son stufo di scriverlo) vi rimando alla guida ufficiale.

Sicurezza

Non abbiamo nemmeno discusso della messa in sicurezza del colloquio tra Samba e OpenLDAP che adesso avviene in chiaro. Essendo entrambi i servizi nella stessa macchina magari il problema e minimo, ma se cominciate ad avere più server Samba che "puntano" allo stesso server LDAP o più server LDAP replicati magari in remoto tra sedi diverse è una opzione da prendere in seria considerazione.

Client Linux

O perbacco ! E i client Linux ? Qualcuno comincerà ad arrivare...
Per le autenticazioni LDAP e le share non credo sia un problema (anche se devo ogni volta digitare utente e password), ma il logon ad un dominio Microsoft ? Ho visto solo due distro che lo fanno: SLED e la sua controparte libera OpenSUSE. Quindi è possibile ma mi sento proprio impreparato sull'argomento. Fatemi sapere voi magari.

Concludiamo managgia !

Dite la verità: Pensavate fosse più semplice. O almeno è quello che ho pensato io la prima volta che mi sono imbattuto in questi argomenti. Spero di aver acceso l'interesse di qualcuno che abbia la voglia studiare, la rete offre tutto di cui si ha bisogno. E credetemi, se imparate bene ad amministrare LOS (LinuxOpenldapSamba) amigos (senza dimenticare DNS/DHCP) domani (quasi) potete installare una rete con Windows, perchè i concetti li conoscete (anche più in profondità di altri), dovete solo scoprire dove fare "click" con il mouse (uaaaah, questa forse è grossa ma suona bene :)).

Ma che bello era fare "Pulsante destro sulla cartella -> convidi con nome -> ok " ?

Alla prossima, con un nuovo argomento e con un' altra brutta gatta da pelare: I servizi mail.