پک آموزشی 300 Linux LPIC-3 به زبان فارسی (Mixed Environment)
حالت مطالعه

LPIC-3 300: Mixed Environment یکی از گواهینامه‌های پیشرفته Linux Professional Institute (LPI) برای متخصصان لینوکس است که مهارت‌های مدیریت شبکه‌های ترکیبی شامل لینوکس و ویندوز را هدف قرار می‌دهد. این گواهینامه تمرکز ویژه‌ای بر سرویس‌دهنده‌های Samba، ادغام با Active Directory، و مدیریت محیط‌های مختلط دارد.

سرفصل‌های دوره LPIC-3 300: Mixed Environment

این دوره شامل مباحث زیر است:

1. مفاهیم معماری Samba

  • درک معماری و قابلیت‌های Samba:
    • معرفی سرویس Samba و نقش آن در محیط‌های مختلط.
    • نحوه کارکرد پروتکل‌های SMB/CIFS.
  • ماژول‌های Samba:
    • مدیریت اجزای اصلی Samba مانند smbd, nmbd, و winbind.
  • قابلیت‌های Samba در حالت‌های مختلف:
    • فایل سرور، اشتراک چاپ، و دامین کنترلر.

2. پیکربندی و مدیریت Samba

  • راه‌اندازی فایل سرور Samba:
    • ایجاد و مدیریت اشتراک‌های فایل عمومی و خصوصی.
    • مدیریت مجوزها و دسترسی‌ها (ACLs).
  • پیکربندی سرویس چاپ Samba:
    • مدیریت پرینترها و اشتراک‌گذاری آنها در شبکه.
  • نصب و تنظیم Samba:
    • تنظیم فایل پیکربندی /etc/samba/smb.conf.
    • مدیریت فرآیندهای Samba.

3. یکپارچگی Samba با Active Directory

  • عضویت در دامنه Active Directory:
    • استفاده از ابزارهایی مانند winbind و realm برای اتصال لینوکس به دامنه.
  • ادغام احراز هویت Samba با Active Directory:
    • استفاده از Kerberos و LDAP برای مدیریت کاربران و گروه‌ها.
  • پیکربندی Samba به‌عنوان یک دامین کنترلر:
    • تنظیم Samba در حالت AD Domain Controller (DC).
  • مدیریت Group Policies (GPO):
    • ایجاد و اعمال خط‌مشی‌ها در دامنه.

4. مدیریت پیشرفته Samba

  • عیب‌یابی Samba:
    • استفاده از ابزارهایی مانند testparm, smbstatus, log files.
    • شناسایی و رفع مشکلات عملکردی Samba.
  • مدیریت امنیت Samba:
    • پیکربندی سطح رمزگذاری و احراز هویت.
    • محدود کردن دسترسی‌ها بر اساس آدرس‌های IP یا قوانین امنیتی.
  • پشتیبان‌گیری و بازیابی Samba:
    • ذخیره تنظیمات و داده‌ها.
    • بازیابی از خرابی.

5. مدیریت سرویس‌های شبکه مرتبط

  • پیکربندی LDAP برای Samba:
    • نصب و تنظیم OpenLDAP.
    • استفاده از LDAP برای احراز هویت و مدیریت دایرکتوری.
  • مدیریت DNS برای Samba:
    • تنظیم DNS یکپارچه برای دامین‌های Active Directory.
  • مدیریت Kerberos:
    • نصب و پیکربندی Kerberos برای امنیت و یکپارچگی.

6. پیکربندی امنیت در محیط‌های مختلط

  • امنیت Samba و Active Directory:
    • مدیریت رمزنگاری SMB و نسخه‌های پروتکل.
    • پیکربندی احراز هویت دو مرحله‌ای.
  • مدیریت دیوار آتش و سیاست‌های شبکه:
    • تنظیم فایروال برای سرویس‌های Samba.
  • مانیتورینگ و لاگ‌ها:
    • تنظیم لاگ‌های Samba برای تحلیل امنیتی.

7. مدیریت کاربران و منابع در محیط‌های مختلط

  • احراز هویت و مدیریت کاربران:
    • استفاده از ابزارهایی مانند pdbedit برای مدیریت پایگاه‌داده کاربران Samba.
  • مدیریت منابع اشتراکی:
    • پیکربندی کوتاهای دیسک و مانیتورینگ مصرف منابع.
  • سیاست‌های کنترل دسترسی (ACL):
    • تنظیم و مدیریت دسترسی کاربران و گروه‌ها به فایل‌ها و منابع.

8. مانیتورینگ و عیب‌یابی محیط‌های مختلط

  • ابزارهای مانیتورینگ:
    • استفاده از ابزارهایی مانند top, iotop, و netstat برای تحلیل عملکرد Samba.
  • عیب‌یابی مشکلات ارتباطی:
    • استفاده از ابزارهایی مانند tcpdump, wireshark برای تحلیل ترافیک شبکه.
  • رفع مشکلات کاربران:
    • بررسی دسترسی‌های کاربران و لاگ‌های Samba.

ساختار آزمون LPIC-3 300

  • مدت آزمون: 90 دقیقه.
  • تعداد سوالات: حدود 60 سوال چندگزینه‌ای و چندپاسخی.
  • پیش‌نیاز: داشتن گواهینامه LPIC-2.

منابع پیشنهادی برای یادگیری

  1. کتاب‌های آموزشی:
    • “Mastering Samba” یا “Samba 4 by Example”.
  2. مستندات Samba:
  3. دوره‌های آنلاین:
    • دوره‌های ارائه شده در پلتفرم‌های Udemy یا Pluralsight.
  4. تمرین عملی:
    • راه‌اندازی Samba در محیط مجازی‌سازی برای تمرین مفاهیم.

این گواهینامه برای متخصصانی طراحی شده که در مدیریت شبکه‌های ترکیبی تخصص دارند و می‌خواهند مهارت خود را در مدیریت سرویس‌دهنده‌های Samba و Active Directory به سطح پیشرفته برسانند.

1. مفاهیم معماری Samba

درک معماری و قابلیت‌های Samba

معرفی سرویس Samba و نقش آن در محیط‌های مختلط مقاله

توضیحات کامل

Samba یک نرم‌افزار متن‌باز (Open Source) است که برای اشتراک‌گذاری فایل و چاپگر بین سیستم‌عامل‌های مختلف، به‌ویژه بین سیستم‌های لینوکسی و ویندوزی طراحی شده است. این سرویس امکان تعامل لینوکس با پروتکل‌های شبکه‌ای ویندوز مانند SMB (Server Message Block) و CIFS (Common Internet File System) را فراهم می‌کند. Samba به دلیل قابلیت‌های متنوع خود، در محیط‌های مختلط (Mixed Environments) نقش کلیدی ایفا می‌کند.

نقش Samba در محیط‌های مختلط

  1. ایجاد پل ارتباطی میان سیستم‌عامل‌ها
    محیط‌های مختلط معمولاً شامل سیستم‌های مختلفی مانند ویندوز، لینوکس، و macOS هستند. Samba این سیستم‌ها را قادر می‌سازد تا از طریق اشتراک فایل‌ها و چاپگرها بدون نیاز به تغییرات عمده در ساختار شبکه با یکدیگر تعامل کنند.
  2. اشتراک‌گذاری منابع
    Samba به مدیران شبکه اجازه می‌دهد منابعی مانند فایل‌ها، پوشه‌ها، و چاپگرها را به‌صورت مرکزی مدیریت و میان کاربران مختلف به اشتراک بگذارند. این ویژگی به بهینه‌سازی استفاده از منابع کمک می‌کند.
  3. احراز هویت و امنیت
    Samba می‌تواند به‌عنوان یک سرور احراز هویت عمل کند و با Active Directory ادغام شود تا دسترسی کاربران و گروه‌ها را مدیریت کند. این قابلیت از امنیت و کنترل دسترسی در شبکه‌های مختلط پشتیبانی می‌کند.
  4. نقش به‌عنوان Domain Controller
    Samba می‌تواند به‌عنوان Primary Domain Controller (PDC) یا Active Directory Domain Controller (AD DC) عمل کند. این ویژگی برای مدیریت کاربران، گروه‌ها، و سیاست‌های دامنه (Group Policies) بسیار مفید است.
  5. مدیریت منابع مشترک در شرکت‌ها
    بسیاری از شرکت‌ها از Samba برای مدیریت منابع مشترک در سازمان‌هایی با ساختار شبکه‌ای ناهمگن استفاده می‌کنند.

قابلیت‌ها و مزایای Samba

  • پشتیبانی از پروتکل‌های SMB و CIFS
    Samba از نسخه‌های مختلف پروتکل‌های SMB و CIFS پشتیبانی می‌کند که امکان اتصال و تعامل با کلاینت‌های ویندوزی و حتی macOS را فراهم می‌کند.
  • تطبیق‌پذیری بالا
    Samba قابلیت تنظیم بر اساس نیازهای مختلف را دارد. از یک سرور کوچک خانگی گرفته تا محیط‌های پیچیده سازمانی می‌توان آن را تنظیم کرد.
  • ادغام با Active Directory
    ادغام Samba با Active Directory این امکان را فراهم می‌کند که کاربران لینوکسی به منابع ویندوزی دسترسی داشته باشند و بالعکس.
  • مدیریت فایل و چاپگر
    Samba به‌راحتی فایل‌ها و چاپگرها را به اشتراک می‌گذارد و می‌تواند سیاست‌های دسترسی مختلف را بر اساس نیاز سازمانی اعمال کند.

کاربردهای Samba در محیط‌های مختلط

  1. فایل سرور (File Server):
    به اشتراک گذاشتن پوشه‌ها و فایل‌ها بین سیستم‌های لینوکس و ویندوز.
  2. چاپگر شبکه (Print Server):
    مدیریت و اشتراک چاپگرها در شبکه.
  3. احراز هویت و مدیریت کاربران:
    Samba می‌تواند از LDAP و Kerberos برای احراز هویت استفاده کند.
  4. یکپارچگی با سیستم‌های ویندوزی:
    Samba امکان پیاده‌سازی یک محیط یکپارچه با کلاینت‌های ویندوزی را فراهم می‌کند.

نتیجه‌گیری

Samba یک ابزار قدرتمند و انعطاف‌پذیر برای مدیریت و اشتراک منابع در محیط‌های مختلط است. این سرویس با فراهم کردن قابلیت‌هایی نظیر اشتراک فایل و چاپگر، ادغام با Active Directory، و پشتیبانی از پروتکل‌های SMB/CIFS، به مدیران شبکه کمک می‌کند تا یکپارچگی و تعامل مؤثری میان سیستم‌های مختلف ایجاد کنند.

نحوه کارکرد پروتکل‌های SMB و CIFS مقاله

توضیحات کامل

SMB (Server Message Block) و CIFS (Common Internet File System) دو پروتکل مهم شبکه هستند که برای اشتراک‌گذاری منابع مانند فایل‌ها، چاپگرها، و دستگاه‌ها در یک شبکه طراحی شده‌اند. این پروتکل‌ها نقش کلیدی در ارتباط سیستم‌های ویندوزی با دیگر سیستم‌ها دارند و Samba از آنها برای فراهم‌کردن سازگاری میان لینوکس و ویندوز بهره می‌برد.

پروتکل SMB

SMB یک پروتکل شبکه‌ای است که ابتدا توسط شرکت IBM طراحی شد و سپس توسط مایکروسافت توسعه یافت. این پروتکل در لایه کاربرد مدل OSI عمل می‌کند و مسئول انتقال داده‌ها و دستورات بین کلاینت‌ها و سرورها است.

ویژگی‌های اصلی SMB:

  1. اشتراک‌گذاری فایل و چاپگر
    SMB اجازه می‌دهد کاربران از طریق شبکه به فایل‌ها و چاپگرهای مشترک دسترسی پیدا کنند.
  2. قفل‌گذاری فایل‌ها (File Locking)
    این ویژگی تضمین می‌کند که یک فایل به‌طور هم‌زمان توسط کاربران مختلف تغییر داده نشود، از ایجاد تناقض جلوگیری می‌کند.
  3. پشتیبانی از احراز هویت
    SMB از مکانیسم‌های احراز هویت مانند NTLM و Kerberos برای تضمین امنیت استفاده می‌کند.
  4. کنترل دسترسی
    این پروتکل اجازه می‌دهد که دسترسی کاربران به فایل‌ها و پوشه‌ها با استفاده از مجوزها (Permissions) مدیریت شود.

پروتکل CIFS

CIFS نسخه‌ای از SMB است که توسط مایکروسافت معرفی شد و به‌عنوان نسخه بهبود یافته SMB شناخته می‌شود. CIFS امکان اشتراک منابع را در شبکه‌های بزرگ‌تر و پیچیده‌تر فراهم می‌کند و به پروتکل پیش‌فرض در ویندوزهای قدیمی‌تر تبدیل شده بود.

ویژگی‌های اصلی CIFS:

  1. عملکرد مستقل از سیستم‌عامل
    CIFS امکان تعامل بین سیستم‌عامل‌های مختلف مانند ویندوز، لینوکس، و macOS را فراهم می‌کند.
  2. پشتیبانی از فایل‌های بزرگ
    CIFS قابلیت مدیریت فایل‌هایی با حجم بالا را دارد.
  3. ارتباط مبتنی بر درخواست/پاسخ
    هر عملیات در CIFS بر اساس درخواست کلاینت و پاسخ سرور انجام می‌شود.
  4. پشتیبانی از Unicode
    این ویژگی اجازه می‌دهد فایل‌ها و پوشه‌ها با نام‌های چندزبانه مدیریت شوند.

نحوه عملکرد SMB و CIFS در شبکه

  1. شروع ارتباط
    • کلاینت درخواست اتصال به سرور را ارسال می‌کند.
    • سرور کلاینت را احراز هویت می‌کند و ارتباط برقرار می‌شود.
  2. انتقال درخواست‌ها
    • کلاینت درخواست‌هایی مانند خواندن، نوشتن، یا باز کردن فایل را ارسال می‌کند.
    • سرور درخواست‌ها را پردازش و پاسخ را بازمی‌گرداند.
  3. مدیریت منابع
    • سرور دسترسی کاربران را بر اساس مجوزها و قوانین امنیتی کنترل می‌کند.
    • قفل‌گذاری فایل‌ها برای جلوگیری از دسترسی هم‌زمان کاربران به داده‌های حساس اعمال می‌شود.
  4. خاتمه ارتباط
    • کلاینت ارتباط را پایان می‌دهد یا سرور به دلیل محدودیت‌های زمانی ارتباط را قطع می‌کند.

مزایا و معایب SMB/CIFS

مزایا:

  • سهولت استفاده: امکان دسترسی به منابع شبکه بدون نیاز به تنظیمات پیچیده.
  • قابلیت اعتماد: پشتیبانی از قفل‌گذاری و مدیریت تراکنش‌ها.
  • امنیت: استفاده از NTLM و Kerberos برای احراز هویت.

معایب:

  • کارایی کمتر در شبکه‌های کند: به دلیل ارتباط مبتنی بر درخواست/پاسخ.
  • قدیمی شدن CIFS: پروتکل CIFS در برابر حملات امنیتی مقاوم نیست و امروزه با SMB نسخه 2 و 3 جایگزین شده است.

تفاوت SMB و CIFS

ویژگی SMB CIFS
توسعه‌دهنده IBM و Microsoft Microsoft
نسخه‌های پشتیبانی SMB 1.x, SMB 2.x, SMB 3.x SMB 1.x (CIFS)
کارایی بهبود یافته در SMB 2 و 3 کارایی پایین‌تر
امنیت SMB 3 از رمزنگاری پشتیبانی می‌کند امنیت پایین‌تر

نتیجه‌گیری

پروتکل‌های SMB و CIFS بخش‌های اساسی در ارتباط شبکه‌ای و اشتراک منابع در محیط‌های مختلط هستند. با وجود اینکه CIFS قدیمی‌تر است، نسخه‌های جدید SMB (مانند SMB 2 و SMB 3) بهبودهای قابل‌توجهی در کارایی، امنیت، و انعطاف‌پذیری ایجاد کرده‌اند. Samba با پشتیبانی از این پروتکل‌ها نقش کلیدی در یکپارچگی سیستم‌های لینوکسی و ویندوزی ایفا می‌کند.

ماژول‌های Samba

مدیریت اجزای اصلی Samba: smbd، nmbd، و winbind مقاله

توضیحات کامل

Samba برای ارائه خدمات مختلف در محیط‌های شبکه‌ای، از سه سرویس اصلی استفاده می‌کند که هرکدام وظایف و نقش خاصی دارند. این اجزا به‌صورت هماهنگ عمل می‌کنند تا عملکردی یکپارچه برای اشتراک فایل، چاپگر، و مدیریت دامین در شبکه‌های مختلط فراهم کنند. در این بخش، به معرفی و مدیریت smbd، nmbd و winbind می‌پردازیم.

1. smbd (Samba Daemon)

وظایف:

  • مدیریت اشتراک فایل‌ها و چاپگرها.
  • پردازش درخواست‌های پروتکل‌های SMB و CIFS.
  • احراز هویت کاربران و مدیریت دسترسی‌ها.
  • پشتیبانی از مجوزها و سیاست‌های کنترل دسترسی (ACL).

مدیریت smbd:

  • راه‌اندازی سرویس: 
    systemctl start smb
  • فعال‌سازی سرویس در زمان بوت: 
    systemctl enable smb
  • وضعیت سرویس: 
    systemctl status smb
  • عیب‌یابی:
    با بررسی فایل‌های لاگ مانند /var/log/samba/log.smbd می‌توانید مشکلات احتمالی را شناسایی کنید.

نکات مهم:

  • تنظیمات مربوط به smbd در فایل پیکربندی /etc/samba/smb.conf انجام می‌شود.
  • برای اشتراک‌گذاری فایل‌ها، باید بخش‌های خاصی مانند [share] در فایل پیکربندی تعریف شوند.

2. nmbd (NetBIOS Name Server Daemon)

وظایف:

  • مدیریت سرویس‌های NetBIOS برای کشف دستگاه‌ها در شبکه.
  • فراهم کردن قابلیت‌های نام‌گذاری و جستجوی منابع شبکه.
  • پاسخ به درخواست‌های مربوط به نام‌های NetBIOS و لیست‌های مرورگر.

مدیریت nmbd:

  • راه‌اندازی سرویس: 
    systemctl start nmb
  • فعال‌سازی سرویس در زمان بوت: 
    systemctl enable nmb
  • وضعیت سرویس: 
    systemctl status nmb
  • عیب‌یابی:
    فایل لاگ مربوط به nmbd در مسیر /var/log/samba/log.nmbd قرار دارد.

نکات مهم:

  • در صورتی که از Active Directory استفاده می‌کنید، ممکن است نیازی به اجرای nmbd نباشد زیرا این سرویس عمدتاً در شبکه‌های مبتنی بر NetBIOS استفاده می‌شود.

3. winbind (Winbind Daemon)

وظایف:

  • مدیریت احراز هویت و ارتباط با Active Directory یا سرورهای مشابه.
  • نگاشت کاربران و گروه‌ها از Active Directory به سیستم لینوکسی.
  • ارائه APIهای NSS (Name Service Switch) و PAM (Pluggable Authentication Modules) برای تعامل لینوکس با دامین ویندوز.

مدیریت winbind:

  • راه‌اندازی سرویس: 
    systemctl start winbind
  • فعال‌سازی سرویس در زمان بوت: 
    systemctl enable winbind
  • وضعیت سرویس: 
    systemctl status winbind
  • عیب‌یابی:
    فایل‌های لاگ مربوط به winbind در مسیر /var/log/samba/log.winbindd قرار دارند.

نکات مهم:

  • برای استفاده از winbind، تنظیماتی مانند idmap config باید در فایل /etc/samba/smb.conf تعریف شود.
  • ابزارهایی مانند wbinfo برای بررسی وضعیت winbind و احراز هویت کاربران مفید هستند: 
    wbinfo -u  # لیست کاربران
wbinfo -g  # لیست گروه‌ها

هماهنگی اجزا

برای عملکرد بهینه Samba در محیط‌های مختلط:

  1. smbd: برای اشتراک فایل و چاپگر ضروری است.
  2. nmbd: در صورتی که از سرویس NetBIOS استفاده می‌کنید، این سرویس باید فعال باشد.
  3. winbind: برای اتصال به Active Directory و استفاده از کاربران دامین، حتماً به این سرویس نیاز دارید.

مدیریت سرویس‌ها به‌صورت یکپارچه

برای اطمینان از اجرای هماهنگ تمامی اجزا:

  • راه‌اندازی Samba: 
    systemctl start smb nmb winbind
  • بررسی وضعیت: 
    systemctl status smb nmb winbind
  • فعال‌سازی در زمان بوت: 
    systemctl enable smb nmb winbind

نتیجه‌گیری

smbd، nmbd، و winbind سه جزء اصلی Samba هستند که هرکدام نقش مهمی در ارائه خدمات در شبکه‌های مختلط ایفا می‌کنند. آشنایی با وظایف، نحوه مدیریت و عیب‌یابی این اجزا به مدیران شبکه کمک می‌کند تا عملکرد سرویس Samba را بهینه کنند و از تعامل بدون مشکل میان سیستم‌های لینوکسی و ویندوزی اطمینان حاصل کنند.

قابلیت‌های Samba در حالت‌های مختلف

فایل سرور، اشتراک چاپ، و دامین کنترلر مقاله

توضیحات کامل

Samba به عنوان یک ابزار قدرتمند و چندمنظوره، قابلیت‌هایی را در محیط‌های شبکه‌ای فراهم می‌کند که امکان اشتراک فایل، چاپگر، و حتی ایفای نقش به عنوان دامین کنترلر (Domain Controller) را شامل می‌شود. در ادامه به بررسی این قابلیت‌ها در سه حالت مختلف می‌پردازیم:

1. Samba به عنوان فایل سرور

یکی از پرکاربردترین حالت‌های Samba، استفاده از آن به عنوان فایل سرور برای اشتراک‌گذاری فایل‌ها بین کاربران ویندوز و لینوکس است.

قابلیت‌ها:

  • اشتراک‌گذاری پوشه‌های عمومی و خصوصی:
    امکان تعریف پوشه‌هایی که همه کاربران به آنها دسترسی دارند (عمومی) یا تنها برای کاربران خاص (خصوصی).
  • مدیریت دسترسی‌ها:
    پشتیبانی از مجوزهای لینوکسی (Unix Permissions) و ACL (Access Control List) برای کنترل دقیق دسترسی به فایل‌ها.
  • پشتیبانی از فایل‌های بزرگ:
    Samba از فایل‌های با اندازه‌های بزرگ (Large Files) پشتیبانی می‌کند و محدودیت‌های قدیمی حذف شده‌اند.
  • قفل‌گذاری فایل‌ها:
    برای جلوگیری از ایجاد تناقض در دسترسی هم‌زمان کاربران به یک فایل.

تنظیمات:

برای راه‌اندازی Samba به عنوان فایل سرور:

  • فایل /etc/samba/smb.conf را ویرایش کنید: 
    [Public]
path = /srv/samba/public
read only = no
guest ok = yes

[Private]
path = /srv/samba/private
valid users = @sambausers
read only = no
  • مجوزهای پوشه‌ها را تنظیم کنید: 
    chmod -R 770 /srv/samba/private
chown -R root:sambausers /srv/samba/private
  • سرویس را راه‌اندازی کنید: 
    systemctl restart smb

2. Samba به عنوان اشتراک چاپ (Print Server)

Samba می‌تواند پرینترهای متصل به سرور لینوکسی را در شبکه به اشتراک بگذارد و به کلاینت‌های ویندوزی یا لینوکسی امکان استفاده از آنها را بدهد.

قابلیت‌ها:

  • اشتراک‌گذاری چاپگرهای محلی یا شبکه‌ای:
    Samba به کلاینت‌ها اجازه می‌دهد چاپگرها را کشف کرده و از آنها استفاده کنند.
  • مدیریت چاپگرها:
    قابلیت مشاهده وضعیت چاپگر، مدیریت صف چاپ، و تعیین دسترسی کاربران به چاپگرها.
  • پشتیبانی از درایورهای ویندوزی:
    امکان ذخیره و ارائه درایورهای چاپگر برای کلاینت‌های ویندوزی از طریق Samba.

تنظیمات:

برای راه‌اندازی اشتراک چاپ:

  • در فایل smb.conf بخش زیر را اضافه کنید: 
    [printers]
comment = All Printers
path = /var/spool/samba
printable = yes
guest ok = yes
use client driver = yes
  • دسترسی به چاپگرها را تنظیم کنید: 
    chmod -R 1777 /var/spool/samba
  • سرویس‌های مرتبط را راه‌اندازی کنید: 
    systemctl restart smb

3. Samba به عنوان دامین کنترلر (Domain Controller)

یکی از قدرتمندترین قابلیت‌های Samba، ایفای نقش به عنوان یک Active Directory Domain Controller یا NT4-style Domain Controller است. این ویژگی امکان مدیریت کاربران، گروه‌ها، و سیاست‌های شبکه را فراهم می‌کند.

قابلیت‌ها:

  • احراز هویت مرکزی:
    تمام کاربران شبکه می‌توانند به‌طور مرکزی احراز هویت شوند.
  • مدیریت کاربران و گروه‌ها:
    با استفاده از ابزارهایی مانند samba-tool می‌توان کاربران، گروه‌ها، و سیاست‌ها را مدیریت کرد.
  • پشتیبانی از Group Policies:
    امکان ایجاد و اعمال سیاست‌های امنیتی برای کلاینت‌های متصل به دامنه.

تنظیمات:

برای راه‌اندازی Samba به عنوان دامین کنترلر:

  1. نصب Samba با قابلیت AD DC:
    مطمئن شوید Samba با پشتیبانی از Active Directory نصب شده است.
  2. پیکربندی دامنه:
    از ابزار samba-tool برای ایجاد دامنه جدید استفاده کنید:

    samba-tool domain provision --use-rfc2307 --interactive

    تنظیمات مانند نام دامنه (Domain Name)، نام NetBIOS، و رمزعبور مدیر را وارد کنید.

  3. تنظیم DNS:
    Samba می‌تواند به‌عنوان DNS سرور نیز عمل کند. تنظیمات DNS را مطابق با نیاز شبکه انجام دهید.
  4. راه‌اندازی سرویس‌ها:
    سرویس‌های Samba و winbind را فعال کنید:

    systemctl start samba-ad-dc
systemctl enable samba-ad-dc

مقایسه قابلیت‌ها در حالات مختلف

ویژگی فایل سرور اشتراک چاپ دامین کنترلر
اشتراک‌گذاری فایل‌ها بله خیر بله
مدیریت چاپگرها خیر بله خیر
احراز هویت مرکزی خیر خیر بله
مدیریت کاربران و گروه‌ها محدود محدود کامل
Group Policies خیر خیر بله

نتیجه‌گیری

Samba یک ابزار چندمنظوره است که در حالات مختلف می‌تواند نیازهای شبکه‌های کوچک تا بزرگ را برطرف کند. با تنظیم مناسب، می‌توانید از Samba برای اشتراک فایل، چاپگر یا حتی مدیریت کل یک شبکه با Active Directory استفاده کنید.

2. پیکربندی و مدیریت Samba

راه‌اندازی فایل سرور Samba

ایجاد و مدیریت اشتراک‌های فایل عمومی و خصوصی در Samba مقاله

توضیحات کامل

اشتراک‌گذاری فایل‌ها یکی از قابلیت‌های کلیدی Samba است که امکان دسترسی کاربران به فایل‌ها را در شبکه فراهم می‌کند. در این بخش، نحوه راه‌اندازی و مدیریت اشتراک‌های عمومی (Public) و خصوصی (Private) به تفصیل توضیح داده می‌شود.

مراحل کلی ایجاد اشتراک‌های فایل در Samba

  1. ایجاد پوشه‌ها برای اشتراک‌گذاری
    پوشه‌های موردنظر برای اشتراک‌گذاری باید روی سرور ایجاد شوند.

    • پوشه عمومی: همه کاربران می‌توانند به آن دسترسی داشته باشند.
    • پوشه خصوصی: دسترسی به کاربران یا گروه‌های خاص محدود می‌شود.
  2. تنظیم مجوزهای فایل و پوشه
    مجوزها و مالکیت پوشه‌ها باید به درستی تنظیم شوند تا دسترسی‌ها مطابق نیاز محدود یا آزاد شوند.
  3. پیکربندی فایل smb.conf
    فایل اصلی تنظیمات Samba یعنی /etc/samba/smb.conf باید به‌روزرسانی شود تا اشتراک‌ها تعریف شوند.
  4. راه‌اندازی و آزمایش Samba
    پس از پیکربندی، سرویس Samba باید راه‌اندازی شود و دسترسی اشتراک‌ها تست شوند.

1. ایجاد پوشه‌ها برای اشتراک‌گذاری

پوشه عمومی:

sudo mkdir -p /srv/samba/public

پوشه خصوصی:

sudo mkdir -p /srv/samba/private
sudo groupadd sambausers
sudo chgrp sambausers /srv/samba/private
sudo chmod 770 /srv/samba/private
  • با استفاده از گروه sambausers دسترسی به پوشه خصوصی محدود می‌شود.

2. تنظیم کاربران Samba

ایجاد یا فعال‌سازی کاربران Samba:

برای هر کاربر، باید حساب Samba تنظیم شود:

sudo smbpasswd -a <username>

افزودن کاربران به گروه:

برای دسترسی به پوشه خصوصی:

sudo usermod -aG sambausers <username>

3. تنظیم فایل پیکربندی Samba

فایل /etc/samba/smb.conf را باز کرده و بخش‌های زیر را اضافه کنید:

[Public]
comment = Public Share
path = /srv/samba/public
browseable = yes
guest ok = yes
read only = no
force create mode = 0666
force directory mode = 0777

[Private]
comment = Private Share
path = /srv/samba/private
browseable = no
valid users = @sambausers
read only = no
force create mode = 0660
force directory mode = 0770

توضیح تنظیمات:

  • [Public]:
    • guest ok = yes اجازه دسترسی بدون احراز هویت را می‌دهد.
    • force create mode و force directory mode مجوز فایل‌ها و پوشه‌های جدید را مشخص می‌کنند.
  • [Private]:
    • browseable = no باعث می‌شود اشتراک در شبکه پنهان شود، اما کاربران مجاز می‌توانند به آن دسترسی پیدا کنند.
    • valid users = @sambausers فقط به اعضای گروه sambausers اجازه دسترسی می‌دهد.

4. راه‌اندازی و آزمایش

راه‌اندازی مجدد سرویس Samba:

sudo systemctl restart smb

بررسی صحت تنظیمات:

از ابزار testparm برای بررسی فایل پیکربندی استفاده کنید:

testparm

تست دسترسی به اشتراک‌ها:

  • از کلاینت ویندوزی یا لینوکسی، مسیر اشتراک را باز کنید: 
    \\<server_ip>\Public
\\<server_ip>\Private
  • دسترسی عمومی و خصوصی را بررسی کنید.

نکات پیشرفته در مدیریت اشتراک‌ها

  1. استفاده از ACL‌ها برای مدیریت دقیق‌تر:
    با استفاده از ACL، می‌توانید دسترسی‌ها را با دقت بیشتری تنظیم کنید:

    setfacl -m u:username:rwx /srv/samba/private
  2. کنترل پهنای باند یا محدودیت‌ها:
    می‌توانید از گزینه‌های مانند max connections برای محدود کردن تعداد کلاینت‌های همزمان استفاده کنید:

    max connections = 10
  3. مانیتورینگ دسترسی‌ها:
    برای نظارت بر فعالیت‌های کاربران:

    sudo tail -f /var/log/samba/log.smbd

نتیجه‌گیری

Samba امکانات گسترده‌ای برای مدیریت اشتراک‌های فایل عمومی و خصوصی فراهم می‌کند. با استفاده از تنظیمات درست و مدیریت کاربران، می‌توانید محیطی امن و کارآمد برای اشتراک‌گذاری فایل‌ها در شبکه ایجاد کنید.

مدیریت مجوزها و دسترسی‌ها (ACLs) در Samba مقاله

توضیحات کامل

ACL (Access Control List) ابزاری قدرتمند برای مدیریت دقیق دسترسی کاربران و گروه‌ها به فایل‌ها و پوشه‌ها است. Samba از ACL‌ها پشتیبانی می‌کند و این امکان را فراهم می‌کند که دسترسی‌ها به‌طور خاص‌تر و جزئی‌تر از مجوزهای سنتی لینوکس (rw-r–r–) تعریف شوند.

در این بخش، به نحوه پیکربندی و استفاده از ACLها در Samba می‌پردازیم.

پیش‌نیازها

  1. فعال بودن ACL در فایل‌سیستم:
    فایل‌سیستم میزبان باید از ACL پشتیبانی کند. فایل‌سیستم‌هایی مانند ext4 و XFS از ACL پشتیبانی می‌کنند، اما باید مطمئن شوید که ACL در زمان مونت فعال است.
    بررسی پشتیبانی:

    tune2fs -l /dev/sdX | grep "Default mount options"

    فعال‌سازی در /etc/fstab:

    /dev/sdX  /path/to/mount  ext4  defaults,acl  0  2

    سپس مجدد مونت کنید:

    mount -o remount,acl /path/to/mount
  2. نصب ابزارهای مدیریت ACL:
    نصب ابزارهای موردنیاز در لینوکس:

    sudo apt install acl

مراحل مدیریت ACL‌ها در Samba

1. تنظیمات اولیه Samba برای پشتیبانی از ACL‌ها

برای فعال‌سازی ACL در Samba، فایل پیکربندی /etc/samba/smb.conf را به‌روزرسانی کنید.
اضافه کردن تنظیمات در بخش [global]:

[global]
vfs objects = acl_xattr
map acl inherit = yes

این تنظیمات به Samba امکان استفاده از ACL‌های فایل‌سیستم را می‌دهد.

2. مدیریت ACL‌ها در فایل‌سیستم

مشاهده ACL‌ها:

برای بررسی ACL‌های یک فایل یا پوشه:

getfacl /path/to/file_or_directory
افزودن یا تغییر ACL:

برای اعطای دسترسی خواندن، نوشتن، و اجرا به یک کاربر خاص:

setfacl -m u:username:rwx /path/to/directory

برای افزودن دسترسی به یک گروه:

setfacl -m g:groupname:rwx /path/to/directory
حذف ACL:

برای حذف دسترسی یک کاربر:

setfacl -x u:username /path/to/directory
اعمال وراثت (Inheritance):

برای اطمینان از اینکه ACL‌ها به فایل‌ها و پوشه‌های جدید داخل یک دایرکتوری اعمال شوند:

setfacl -m d:u:username:rwx /path/to/directory

3. تعریف اشتراک Samba با پشتیبانی ACL

تنظیم یک اشتراک در فایل /etc/samba/smb.conf:

[SecureShare]
path = /srv/samba/secure
read only = no
browseable = yes
force create mode = 0660
force directory mode = 0770
inherit acls = yes
  • force create mode: تضمین می‌کند فایل‌های جدید حداقل سطح مجوز تعریف‌شده را داشته باشند.
  • inherit acls: تنظیم می‌کند ACLهای تعریف‌شده به فایل‌ها و پوشه‌های جدید به ارث برسند.

راه‌اندازی مجدد Samba:

sudo systemctl restart smb

4. تست و تأیید تنظیمات

بررسی دسترسی کاربران:

از یک کلاینت ویندوز یا لینوکس به اشتراک دسترسی پیدا کنید و مطمئن شوید که کاربران مطابق ACLهای تعریف‌شده عمل می‌کنند.

عیب‌یابی:

برای مشاهده لاگ‌ها و رفع مشکلات احتمالی:

sudo tail -f /var/log/samba/log.smbd

سناریوی عملی

فرض کنید می‌خواهید پوشه‌ای به نام /srv/samba/secure ایجاد کنید که:

  1. کاربر user1 دسترسی کامل (rwx) داشته باشد.
  2. گروه finance فقط دسترسی خواندن و اجرا (r-x) داشته باشد.
  3. کاربر user2 هیچ دسترسی نداشته باشد.

مراحل:

  1. ایجاد پوشه و تنظیم مجوزهای پایه: 
    sudo mkdir -p /srv/samba/secure
sudo chown root:sambausers /srv/samba/secure
sudo chmod 770 /srv/samba/secure
  2. اعمال ACL‌ها:
    • اعطای دسترسی کامل به user1: 
      setfacl -m u:user1:rwx /srv/samba/secure
    • اعطای دسترسی خواندن و اجرا به گروه finance: 
      setfacl -m g:finance:rx /srv/samba/secure
    • حذف دسترسی کاربر user2: 
      setfacl -x u:user2 /srv/samba/secure
  3. بررسی ACL‌ها: 
    getfacl /srv/samba/secure

نکات امنیتی

  1. استفاده از ارث‌بری (Inheritance): برای اطمینان از اینکه مجوزها به فایل‌ها و پوشه‌های جدید اعمال شوند.
  2. مدیریت دقیق لاگ‌ها: دسترسی‌ها را بررسی کنید تا از سوءاستفاده یا خطاهای پیکربندی جلوگیری کنید.
  3. تنظیمات پیشرفته ACL در Samba: از گزینه‌های valid users و invalid users برای محدود کردن دسترسی در سطح Samba استفاده کنید.

نتیجه‌گیری

ACLها ابزاری بسیار قدرتمند برای مدیریت دسترسی‌ها هستند که کنترل دقیق‌تری نسبت به مجوزهای سنتی لینوکس ارائه می‌دهند. ترکیب ACLها با Samba امکان تنظیم دقیق دسترسی کاربران و گروه‌ها را در محیط‌های شبکه‌ای فراهم می‌کند. با تنظیم درست و تست مداوم، می‌توانید اشتراک‌های ایمن و کارآمدی ایجاد کنید.

پیکربندی سرویس چاپ Samba

مدیریت پرینترها و اشتراک‌گذاری آنها در شبکه با Samba مقاله

توضیحات کامل

اشتراک‌گذاری پرینترها در شبکه یکی از قابلیت‌های پرکاربرد Samba است. این قابلیت امکان دسترسی کاربران مختلف به پرینترهای متصل به سرور را از طریق پروتکل SMB فراهم می‌کند. این بخش شامل مراحل پیکربندی، مدیریت و اشتراک‌گذاری پرینترها با استفاده از Samba است.

پیش‌نیازها

  1. نصب و پیکربندی سیستم مدیریت پرینتر (CUPS):
    Samba به‌طور معمول از CUPS (Common Unix Printing System) برای مدیریت پرینترها استفاده می‌کند.
    نصب CUPS:

    sudo apt install cups
sudo systemctl enable cups
sudo systemctl start cups

    دسترسی به رابط وب CUPS برای مدیریت پرینترها:

    http://<server_ip>:631
  2. نصب Samba:
    مطمئن شوید Samba روی سرور نصب و فعال است.
  3. اتصال پرینتر به سرور:
    پرینتر می‌تواند به صورت مستقیم (USB/Parallel) یا از طریق شبکه به سرور متصل باشد.

مراحل اشتراک‌گذاری پرینترها

1. افزودن پرینتر به سرور

  • از رابط وب CUPS استفاده کنید:
    1. به آدرس http://<server_ip>:631 بروید.
    2. وارد شوید (کاربر ریشه یا مدیر سیستم).
    3. به بخش Administration > Add Printer بروید و پرینتر موردنظر را اضافه کنید.
    4. تنظیمات اولیه مانند نام، مدل و درایور پرینتر را مشخص کنید.

2. پیکربندی Samba برای اشتراک‌گذاری پرینتر

فایل پیکربندی Samba (/etc/samba/smb.conf) را باز کنید و تغییرات زیر را اعمال کنید:

بخش [global]:
[global]
printing = cups
printcap name = cups
load printers = yes
تعریف اشتراک پرینترها:
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
printable = yes
guest ok = yes
use client driver = yes
writeable = no

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
guest ok = no
read only = yes
write list = root, @lpadmin
  • [printers]:
    • تمامی پرینترهای تعریف‌شده در CUPS از طریق این اشتراک در دسترس خواهند بود.
    • path: مسیر موقت برای نگهداری فایل‌های چاپی.
    • printable = yes: مشخص می‌کند که این اشتراک برای پرینترهاست.
  • [print$]:
    • پوشه‌ای برای نگهداری درایورهای پرینتر که توسط کلاینت‌ها قابل دانلود است.

3. ایجاد مسیر spool و تنظیم مجوزها

ایجاد مسیر /var/spool/samba و تنظیم مجوزهای مناسب:

sudo mkdir -p /var/spool/samba
sudo chmod 1777 /var/spool/samba

4. راه‌اندازی مجدد سرویس‌ها

سرویس‌های CUPS و Samba را راه‌اندازی مجدد کنید:

sudo systemctl restart cups
sudo systemctl restart smbd

مدیریت دسترسی‌ها به پرینتر

  1. محدود کردن دسترسی به کاربران خاص:
    با استفاده از گزینه valid users می‌توانید دسترسی را محدود کنید:

    [printers]
valid users = @allowedgroup
  2. مدیریت گروه‌ها برای کاربران مجاز:
    افزودن کاربران به گروه موردنظر:

    sudo usermod -aG lpadmin username
  3. فعال‌سازی دسترسی مهمان (Guest):
    اگر کاربران نیاز به دسترسی بدون احراز هویت دارند:

    [printers]
guest ok = yes

    اما این کار امنیت شبکه را کاهش می‌دهد و فقط در محیط‌های محدود توصیه می‌شود.

تست و استفاده از پرینترهای اشتراک‌گذاری شده

از کلاینت ویندوز:

  1. در ویندوز، به مسیر \\<server_ip> بروید.
  2. پرینترهای اشتراک‌گذاری‌شده ظاهر می‌شوند.
  3. روی پرینتر کلیک کرده و گزینه Connect را انتخاب کنید.

از کلاینت لینوکس:

  1. از تنظیمات چاپگر سیستم عامل لینوکس استفاده کنید.
  2. پرینتر Samba را با مسیر smb://<server_ip>/<printer_name> اضافه کنید.

عیب‌یابی مشکلات پرینتر

  1. بررسی لاگ‌های Samba:
    لاگ‌ها را برای شناسایی مشکلات چاپ بررسی کنید:

    sudo tail -f /var/log/samba/log.smbd
  2. بررسی وضعیت پرینتر در CUPS:
    از رابط وب CUPS استفاده کنید یا دستور زیر را اجرا کنید:

    lpstat -t
  3. تست تنظیمات Samba:
    از ابزار testparm استفاده کنید:

    testparm
  4. تست چاپ محلی:
    تست چاپ مستقیم از سرور:

    echo "Test Print" | lp -d <printer_name>

نتیجه‌گیری

مدیریت و اشتراک‌گذاری پرینترها با Samba ابزار قدرتمندی برای ایجاد محیط چاپ متمرکز در شبکه ارائه می‌دهد. با تنظیمات صحیح و مدیریت کاربران، می‌توانید اطمینان حاصل کنید که پرینترها به‌صورت ایمن و کارآمد در اختیار کاربران شبکه قرار می‌گیرند.

نصب و تنظیم Samba

تنظیم فایل پیکربندی /etc/samba/smb.conf مقاله

توضیحات کامل

فایل پیکربندی /etc/samba/smb.conf قلب تنظیمات Samba است. تمامی ویژگی‌ها و قابلیت‌های Samba، از جمله اشتراک فایل، پرینتر، و یکپارچگی با Active Directory، از طریق این فایل مدیریت می‌شود. در این بخش، ساختار و تنظیمات مهم این فایل را بررسی می‌کنیم.

ساختار کلی فایل smb.conf

این فایل به دو بخش اصلی تقسیم می‌شود:

  1. بخش [global]: شامل تنظیمات سراسری که بر روی کل سرویس Samba اعمال می‌شود.
  2. بخش اشتراک‌ها: تعریف منابع به اشتراک‌گذاشته‌شده مانند پوشه‌ها یا پرینترها.

تنظیمات مهم در بخش [global]

نمونه تنظیمات عمومی:

[global]
workgroup = WORKGROUP
server string = Samba Server %v
netbios name = samba-server
security = user
map to guest = bad user
dns proxy = no

توضیح تنظیمات:

  • workgroup: نام گروه کاری (Workgroup) برای محیط‌های ویندوزی. مقدار پیش‌فرض WORKGROUP است.
  • server string: توضیح کوتاهی درباره سرور Samba که در مرورگر شبکه نمایش داده می‌شود.
  • netbios name: نامی که سرور Samba در شبکه نمایش می‌دهد.
  • security: نوع امنیت Samba. مقدار user به Samba اجازه می‌دهد تا با احراز هویت کاربران عمل کند.
  • map to guest: برای کاربران ناشناخته یا نامعتبر، دسترسی مهمان را فعال می‌کند.
  • dns proxy: در صورت فعال بودن، درخواست‌های DNS را پروکسی می‌کند.

تنظیم اشتراک‌ها

نمونه تنظیم اشتراک فایل عمومی:

[public]
comment = Public Folder
path = /srv/samba/public
browseable = yes
guest ok = yes
read only = no
force create mode = 0660
force directory mode = 0770

توضیح تنظیمات:

  • comment: توضیحی که برای اشتراک نمایش داده می‌شود.
  • path: مسیر دایرکتوری که به اشتراک گذاشته می‌شود.
  • browseable: اگر مقدار آن yes باشد، اشتراک در مرورگر شبکه قابل مشاهده است.
  • guest ok: اجازه دسترسی بدون احراز هویت.
  • read only: اگر no باشد، اجازه نوشتن به کاربران داده می‌شود.
  • force create mode: تعیین حالت دسترسی فایل‌های جدید.
  • force directory mode: تعیین حالت دسترسی پوشه‌های جدید.

نمونه تنظیم اشتراک فایل خصوصی:

[private]
comment = Private Folder
path = /srv/samba/private
browseable = no
valid users = @staff
read only = no
create mask = 0640
directory mask = 0750

توضیح تنظیمات:

  • browseable: مقدار no باعث می‌شود این اشتراک در مرورگر شبکه نمایش داده نشود.
  • valid users: فقط کاربران یا گروه‌های مجاز می‌توانند به اشتراک دسترسی داشته باشند. برای گروه‌ها از @groupname استفاده کنید.
  • create mask: تعیین مجوز فایل‌های جدید.
  • directory mask: تعیین مجوز پوشه‌های جدید.

فعال‌سازی پشتیبانی از ACL‌ها

اگر قصد استفاده از لیست‌های کنترل دسترسی (ACL) را دارید، تنظیمات زیر را در [global] اضافه کنید:

vfs objects = acl_xattr
map acl inherit = yes

تنظیمات برای اتصال به Active Directory

اگر Samba به دامنه Active Directory متصل است، فایل پیکربندی را این‌گونه تنظیم کنید:

[global]
workgroup = AD
realm = AD.EXAMPLE.COM
security = ads
encrypt passwords = yes
kerberos method = secrets and keytab

تنظیم اشتراک پرینترها

برای اشتراک پرینترها، تنظیمات زیر را به فایل اضافه کنید:

[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
printable = yes
guest ok = yes
use client driver = yes

بررسی فایل تنظیمات

پس از اعمال تغییرات، حتماً فایل پیکربندی را برای خطاها بررسی کنید:

testparm

راه‌اندازی مجدد Samba

پس از به‌روزرسانی فایل smb.conf، سرویس Samba را مجدداً راه‌اندازی کنید:

sudo systemctl restart smbd

عیب‌یابی مشکلات

  1. بررسی لاگ‌ها:
    لاگ‌های Samba را برای شناسایی خطاها بررسی کنید:

    sudo tail -f /var/log/samba/log.smbd
  2. تست اشتراک‌ها:
    از کلاینت‌های ویندوز یا لینوکس برای دسترسی به اشتراک‌ها استفاده کنید و از درستی عملکرد اطمینان حاصل کنید:

    smbclient -L //localhost -U username

نتیجه‌گیری

فایل /etc/samba/smb.conf ابزار اصلی پیکربندی Samba است. با تنظیم دقیق این فایل می‌توانید قابلیت‌های متنوعی مانند اشتراک فایل، پرینتر، و یکپارچگی با Active Directory را پیاده‌سازی کنید.

مدیریت فرآیندهای Samba مقاله

توضیحات کامل

Samba به‌عنوان یک سرویس قدرتمند در محیط‌های مختلط، از فرآیندهای مختلفی برای ارائه خدمات استفاده می‌کند. هر فرآیند در Samba وظایف مشخصی دارد و مدیریت صحیح این فرآیندها برای بهینه‌سازی عملکرد، عیب‌یابی و ارائه خدمات پایدار ضروری است. این بخش به بررسی فرآیندهای اصلی Samba، مدیریت آن‌ها و ابزارهای مرتبط می‌پردازد.

فرآیندهای اصلی Samba

  1. smbd (SMB Daemon):
    • وظیفه اصلی آن مدیریت ارتباطات پروتکل SMB/CIFS است.
    • این فرآیند مسئول ارائه خدمات اشتراک فایل، پرینتر و احراز هویت است.
  2. nmbd (NetBIOS Name Server Daemon):
    • وظیفه مدیریت پروتکل NetBIOS برای نام‌گذاری، مرور شبکه و کشف منابع است.
    • این فرآیند معمولاً در شبکه‌های قدیمی‌تر یا محیط‌هایی که از NetBIOS استفاده می‌کنند، فعال است.
  3. winbindd (Winbind Daemon):
    • برای یکپارچه‌سازی احراز هویت در محیط‌های Active Directory استفاده می‌شود.
    • این فرآیند امکان استفاده از کاربران و گروه‌های دامنه را فراهم می‌کند.

مدیریت فرآیندهای Samba

1. بررسی وضعیت سرویس‌ها

از ابزار systemctl برای بررسی وضعیت سرویس‌های Samba استفاده کنید:

sudo systemctl status smbd
sudo systemctl status nmbd
sudo systemctl status winbind

خروجی نمونه:

● smbd.service - Samba SMB Daemon
   Loaded: loaded (/lib/systemd/system/smbd.service; enabled)
   Active: active (running)

2. شروع، توقف و راه‌اندازی مجدد

برای مدیریت فرآیندها می‌توانید از دستورات زیر استفاده کنید:

  • شروع سرویس: 
    sudo systemctl start smbd nmbd winbind
  • توقف سرویس: 
    sudo systemctl stop smbd nmbd winbind
  • راه‌اندازی مجدد: 
    sudo systemctl restart smbd nmbd winbind
  • فعال‌سازی سرویس در بوت: 
    sudo systemctl enable smbd nmbd winbind
  • غیرفعال‌سازی سرویس: 
    sudo systemctl disable smbd nmbd winbind

مشاهده فرآیندهای فعال Samba

1. با استفاده از دستور ps:

برای مشاهده فرآیندهای فعال:

ps aux | grep smb
ps aux | grep nmb
ps aux | grep winbind

خروجی نمونه:

root      1234  0.0  0.1 123456 12345 ?        S    12:00   0:00 /usr/sbin/smbd --foreground
root      1235  0.0  0.1 123456 12345 ?        S    12:00   0:00 /usr/sbin/nmbd --foreground
root      1236  0.0  0.1 123456 12345 ?        S    12:00   0:00 /usr/sbin/winbindd --foreground

2. استفاده از دستور pgrep:

برای پیدا کردن PID‌های فرآیندها:

pgrep smbd
pgrep nmbd
pgrep winbindd

عیب‌یابی فرآیندهای Samba

1. بررسی لاگ‌ها

لاگ‌های مرتبط با فرآیندها در مسیرهای زیر ذخیره می‌شوند:

  • لاگ اصلی Samba: 
    /var/log/samba/log.smbd
/var/log/samba/log.nmbd
/var/log/samba/log.winbindd
  • مشاهده لاگ‌ها در لحظه: 
    tail -f /var/log/samba/log.smbd

2. ابزار smbstatus

برای بررسی وضعیت کنونی کاربران و اتصالات:

smbstatus

خروجی نمونه:

Samba version 4.15.5
PID     Username     Group        Machine          Connected at
-----------------------------------------------------------------
1234    alice        staff        192.168.1.10    Mon Dec 07 12:00:00 2024

3. ابزار testparm

برای بررسی صحت تنظیمات Samba:

testparm

بهینه‌سازی فرآیندها

1. تنظیم تعداد فرآیندهای موازی:

در فایل /etc/samba/smb.conf، پارامتر زیر را برای کنترل تعداد اتصالات موازی تنظیم کنید:

max connections = 50

2. تنظیم مقدار بافرهای شبکه:

برای بهبود عملکرد در بار کاری بالا:

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

3. کاهش زمان انتظار فرآیندها:

deadtime = 15

این گزینه باعث می‌شود اتصالات غیرفعال پس از 15 دقیقه بسته شوند.

خاموش کردن فرآیندهای غیرضروری

اگر از برخی سرویس‌های Samba (مانند nmbd) استفاده نمی‌کنید، می‌توانید آن را غیرفعال کنید:

sudo systemctl disable nmbd
sudo systemctl stop nmbd

نتیجه‌گیری

مدیریت فرآیندهای Samba از اهمیت بالایی برای عملکرد پایدار و امن در شبکه برخوردار است. با درک وظایف هر فرآیند و استفاده از ابزارهای مدیریتی مناسب، می‌توانید از صحت عملکرد Samba اطمینان حاصل کنید و در صورت بروز مشکل، به‌سرعت آن را رفع کنید.

3. یکپارچگی Samba با Active Directory

عضویت در دامنه Active Directory

استفاده از ابزارهایی مانند winbind و realm برای اتصال لینوکس به دامنه مقاله

توضیحات کامل

اتصال یک سیستم لینوکسی به دامنه Active Directory (AD) به شما امکان می‌دهد تا از کاربران و گروه‌های دامنه برای احراز هویت و کنترل دسترسی استفاده کنید. ابزارهای Winbind و Realm به‌عنوان بخش‌های کلیدی این فرآیند به کار می‌روند. در این بخش، نحوه پیکربندی و اتصال لینوکس به دامنه Active Directory توضیح داده می‌شود.

پیش‌نیازها

  1. سیستم عامل لینوکس: توزیعی مانند RHEL، CentOS، Ubuntu، یا Debian.
  2. Active Directory: سرور دامنه با قابلیت DNS صحیح.
  3. نام دامنه کامل (FQDN): مثلاً ad.example.com.
  4. ابزارهای موردنیاز: نصب Samba, Kerberos, Winbind, و Realm.

مراحل عضویت در دامنه

1. نصب ابزارهای ضروری

برای نصب ابزارهای موردنیاز:

  • روی توزیع‌های Debian-based (Ubuntu/Debian): 
    sudo apt update
sudo apt install samba krb5-user winbind libnss-winbind libpam-winbind adcli
  • روی توزیع‌های RHEL-based (CentOS/RHEL): 
    sudo yum install samba samba-winbind-clients krb5-workstation realmd oddjob oddjob-mkhomedir

2. تنظیم نام میزبان و DNS

اطمینان حاصل کنید که سرور DNS به دامنه AD اشاره می‌کند:

  1. تنظیم فایل /etc/hostname: 
    sudo hostnamectl set-hostname your-hostname
  2. تنظیم DNS در /etc/resolv.conf:
    فایل /etc/resolv.conf باید به سرور DNS دامنه اشاره کند:

    nameserver <AD-DNS-IP>
search ad.example.com
  3. آزمایش ارتباط DNS:
    نام دامنه و سرور AD را بررسی کنید:

    nslookup ad.example.com

3. تنظیم Kerberos

پیکربندی Kerberos در فایل /etc/krb5.conf:

[libdefaults]
    default_realm = AD.EXAMPLE.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true

برای بررسی صحت Kerberos:

kinit Administrator
klist

4. استفاده از ابزار Realm برای اتصال

با استفاده از دستور realm، سیستم را به دامنه متصل کنید:

sudo realm join --user=Administrator ad.example.com

پارامترها:

  • --user=Administrator: کاربر با دسترسی لازم در دامنه.
  • ad.example.com: نام دامنه Active Directory.

5. بررسی اتصال

برای تأیید موفقیت اتصال، از دستور زیر استفاده کنید:

realm list

خروجی باید شامل اطلاعات دامنه باشد:

ad.example.com
  type: kerberos
  realm-name: AD.EXAMPLE.COM
  domain-name: ad.example.com
  configured: kerberos-member

پیکربندی Winbind برای احراز هویت

1. تنظیم فایل /etc/nsswitch.conf

فایل /etc/nsswitch.conf را برای استفاده از Winbind تغییر دهید:

passwd:     files winbind
group:      files winbind
shadow:     files

2. پیکربندی Samba برای Winbind

در فایل /etc/samba/smb.conf تنظیمات زیر را اضافه کنید:

[global]
   workgroup = AD
   realm = AD.EXAMPLE.COM
   security = ads

   winbind use default domain = true
   winbind enum users = yes
   winbind enum groups = yes
   idmap config * : range = 10000-20000
   idmap config AD : backend = rid
   idmap config AD : range = 20001-30000

3. راه‌اندازی مجدد سرویس‌ها

پس از پیکربندی، سرویس‌های مربوطه را راه‌اندازی مجدد کنید:

sudo systemctl restart smbd nmbd winbind

4. تست کاربران و گروه‌های دامنه

  • بررسی کاربران دامنه: 
    wbinfo -u
  • بررسی گروه‌های دامنه: 
    wbinfo -g

ایجاد دایرکتوری Home برای کاربران دامنه

برای ایجاد خودکار دایرکتوری Home کاربران:

  1. سرویس oddjobd را نصب و فعال کنید: 
    sudo systemctl enable oddjobd
sudo systemctl start oddjobd
  2. تنظیم فایل PAM:
    اطمینان حاصل کنید که ماژول PAM برای Winbind فعال است:

    sudo authconfig --enablemkhomedir --update

عیب‌یابی

بررسی لاگ‌ها

  • لاگ‌های Samba: 
    sudo tail -f /var/log/samba/log.smbd
  • لاگ‌های Winbind: 
    sudo tail -f /var/log/samba/log.winbindd

تست اتصال Kerberos:

اگر احراز هویت Kerberos مشکل داشت:

kinit username

بررسی ابزار Realm:

اگر اتصال به دامنه ناموفق بود:

<code class="!whitespace-pre hljs language-bash">

realm discover ad.example.com

جمع بندی

ابزارهای Winbind و Realm فرآیند اتصال لینوکس به دامنه Active Directory را ساده و کارآمد می‌کنند. با پیکربندی مناسب Samba، Kerberos، و Winbind، می‌توانید از کاربران دامنه برای احراز هویت و کنترل دسترسی در سیستم لینوکس استفاده کنید.

ادغام احراز هویت Samba با Active Directory

استفاده از Kerberos و LDAP برای مدیریت کاربران و گروه‌ها مقاله

توضیحات کامل

Kerberos و LDAP دو فناوری مهم در محیط‌های شبکه‌ای هستند که با ترکیب آن‌ها می‌توان مدیریت کاربران و گروه‌ها را در دامنه‌های Active Directory (AD) یا سرورهای مشابه به‌طور امن و کارآمد انجام داد. در این بخش، به نحوه استفاده از این دو ابزار در لینوکس برای مدیریت کاربران و گروه‌ها خواهیم پرداخت.

1. Kerberos چیست؟

Kerberos یک پروتکل احراز هویت امن است که با استفاده از یک مدل “بلیط‌محور” (ticket-based) و رمزنگاری قوی، هویت کاربران را تأیید می‌کند. این پروتکل، عمدتاً برای جلوگیری از ارسال رمز عبور در شبکه طراحی شده است. Kerberos در محیط‌های Active Directory به‌طور گسترده استفاده می‌شود.

ویژگی‌های Kerberos:

  • مدیریت متمرکز احراز هویت.
  • کاهش خطر ارسال رمز عبور در شبکه.
  • استفاده از بلیط‌های زمانی برای افزایش امنیت.

2. LDAP چیست؟

LDAP (Lightweight Directory Access Protocol) یک پروتکل برای دسترسی به دایرکتوری‌های اطلاعاتی مانند Active Directory است. LDAP برای ذخیره و بازیابی اطلاعات کاربران، گروه‌ها، کامپیوترها و منابع شبکه استفاده می‌شود.

ویژگی‌های LDAP:

  • جستجوی سریع اطلاعات در دایرکتوری.
  • امکان مدیریت متمرکز کاربران و گروه‌ها.
  • یکپارچگی با Kerberos برای احراز هویت.

3. نصب و پیکربندی Kerberos و LDAP

پیش‌نیازها:

  1. دسترسی به یک سرور Kerberos (مانند AD یا FreeIPA).
  2. دسترسی به یک دایرکتوری LDAP (مانند OpenLDAP یا AD).
  3. نصب بسته‌های Kerberos و LDAP.

نصب بسته‌ها:

  • در توزیع‌های Debian-based (مانند Ubuntu): 
    sudo apt update
sudo apt install krb5-user libpam-krb5 libnss-ldap libpam-ldap ldap-utils
  • در توزیع‌های RHEL-based (مانند CentOS): 
    sudo yum install krb5-workstation pam_krb5 nss-pam-ldapd openldap-clients

4. پیکربندی Kerberos

ویرایش فایل /etc/krb5.conf:

این فایل برای تنظیمات Kerberos استفاده می‌شود.

[libdefaults]
    default_realm = AD.EXAMPLE.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true

[realms]
    AD.EXAMPLE.COM = {
        kdc = kdc.ad.example.com
        admin_server = kdc.ad.example.com
    }

[domain_realm]
    .ad.example.com = AD.EXAMPLE.COM
    ad.example.com = AD.EXAMPLE.COM

بررسی صحت Kerberos:

  • دریافت بلیط (Ticket): 
    kinit username
  • مشاهده بلیط: 
    klist
  • لغو بلیط: 
    kdestroy

5. پیکربندی LDAP

ویرایش فایل /etc/ldap/ldap.conf:

BASE dc=ad,dc=example,dc=com
URI ldap://ldap.ad.example.com
BINDDN cn=admin,dc=ad,dc=example,dc=com

آزمایش اتصال به سرور LDAP:

با استفاده از ابزار ldapsearch، اتصال به سرور LDAP را بررسی کنید:

ldapsearch -x -LLL -H ldap://ldap.ad.example.com -b "dc=ad,dc=example,dc=com" dn

6. یکپارچگی Kerberos و LDAP

ویرایش فایل /etc/nsswitch.conf:

برای اطمینان از استفاده از LDAP برای مدیریت کاربران و گروه‌ها:

passwd:     files ldap
group:      files ldap
shadow:     files ldap

فعال‌سازی PAM برای Kerberos و LDAP:

تنظیم PAM برای استفاده از Kerberos و LDAP برای احراز هویت:

  • ویرایش فایل /etc/pam.d/common-auth: 
    auth    sufficient    pam_krb5.so
auth    sufficient    pam_ldap.so

پیکربندی /etc/sssd/sssd.conf (در صورت استفاده از SSSD):

[sssd]
services = nss, pam
domains = ad.example.com

[domain/ad.example.com]
id_provider = ldap
auth_provider = krb5
ldap_uri = ldap://ldap.ad.example.com
krb5_realm = AD.EXAMPLE.COM
krb5_kdcip = kdc.ad.example.com

راه‌اندازی مجدد SSSD:

sudo systemctl restart sssd

7. مدیریت کاربران و گروه‌ها

ایجاد کاربران در LDAP:

با استفاده از ابزار ldapadd:

dn: uid=jdoe,ou=Users,dc=ad,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: jdoe
sn: Doe
givenName: John
cn: John Doe
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/jdoe
loginShell: /bin/bash

سپس دستور زیر را اجرا کنید:

ldapadd -x -D "cn=admin,dc=ad,dc=example,dc=com" -W -f user.ldif

مدیریت گروه‌ها در LDAP:

ایجاد یک گروه:

dn: cn=developers,ou=Groups,dc=ad,dc=example,dc=com
objectClass: posixGroup
cn: developers
gidNumber: 1002

اضافه کردن کاربر به گروه:

dn: uid=jdoe,ou=Users,dc=ad,dc=example,dc=com
changetype: modify
add: memberOf
memberOf: cn=developers,ou=Groups,dc=ad,dc=example,dc=com

8. عیب‌یابی

بررسی لاگ‌ها:

  • Kerberos: 
    sudo tail -f /var/log/krb5kdc.log
  • LDAP: 
    sudo tail -f /var/log/ldap/slapd.log

آزمایش احراز هویت:

  • بررسی کاربران LDAP: 
    getent passwd
  • بررسی گروه‌ها: 
    getent group

جمع بندی

ترکیب Kerberos و LDAP یک راه‌حل امن و کارآمد برای مدیریت کاربران و گروه‌ها در محیط‌های شبکه‌ای ارائه می‌دهد. با پیکربندی مناسب، می‌توان از این دو ابزار برای احراز هویت متمرکز، مدیریت منابع و بهبود امنیت سیستم استفاده کرد.

پیکربندی Samba به‌عنوان یک دامین کنترلر

پیکربندی Samba به‌عنوان یک دامین کنترلر (AD Domain Controller - DC) مقاله

توضیحات کامل

Samba می‌تواند به‌عنوان یک Active Directory Domain Controller (AD DC) عمل کند و قابلیت‌هایی مانند احراز هویت مرکزی، مدیریت کاربران و گروه‌ها، و پشتیبانی از Group Policy را فراهم کند. در این بخش، مراحل پیکربندی Samba برای عملکرد به‌عنوان AD DC توضیح داده می‌شود.

پیش‌نیازها

  1. سیستم عامل لینوکس: توزیعی مانند Debian, Ubuntu, CentOS، یا RHEL.
  2. نسخه Samba: نسخه Samba باید از قابلیت AD DC پشتیبانی کند (معمولاً نسخه 4 یا بالاتر).
  3. نام دامنه: نام دامنه کامل (FQDN) مانند ad.example.com.
  4. پیش‌نیازهای نرم‌افزاری: بسته‌های Samba، Kerberos، و DNS.

مراحل تنظیم Samba به‌عنوان دامین کنترلر

1. نصب بسته‌های Samba

  • در توزیع‌های Debian-based (مانند Ubuntu): 
    sudo apt update
sudo apt install samba krb5-user winbind smbclient
  • در توزیع‌های RHEL-based (مانند CentOS/RHEL): 
    sudo yum install samba samba-client samba-dc krb5-workstation

2. پیکربندی اولیه

Samba به‌عنوان AD DC به فایل /etc/samba/smb.conf وابسته است. اما ابتدا باید دایرکتوری مربوط به AD را راه‌اندازی کنیم.

راه‌اندازی Samba AD
  1. Samba را با دستور samba-tool در حالت AD DC راه‌اندازی کنید: 
    sudo samba-tool domain provision --use-rfc2307 --interactive
  2. در طول اجرای این دستور، اطلاعات زیر از شما خواسته می‌شود:
    • Domain name: (مانند ad.example.com).
    • NetBIOS name: (مانند EXAMPLE).
    • Administrator password: (رمز عبور برای کاربر Administrator).
  3. این فرآیند فایل‌های تنظیمات موردنیاز Samba و Kerberos را ایجاد می‌کند.

3. بررسی فایل‌های تنظیمات

بررسی فایل /etc/samba/smb.conf:

فایل به‌صورت خودکار توسط ابزار samba-tool ایجاد شده است. تنظیمات باید به شکل زیر باشد:

[global]
   workgroup = EXAMPLE
   realm = AD.EXAMPLE.COM
   netbios name = HOSTNAME
   server role = active directory domain controller

   idmap_ldb:use rfc2307 = yes

[sysvol]
   path = /var/lib/samba/sysvol
   read only = no

[netlogon]
   path = /var/lib/samba/sysvol/ad.example.com/scripts
   read only = no
بررسی فایل /etc/krb5.conf:

این فایل برای Kerberos تنظیم شده است:

[libdefaults]
    default_realm = AD.EXAMPLE.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true

4. راه‌اندازی سرویس Samba

Samba را به‌عنوان یک سرویس اجرا کنید:

sudo systemctl enable samba-ad-dc
sudo systemctl start samba-ad-dc

5. پیکربندی DNS

سرویس DNS باید به Samba اعتماد کند:

  • تست نام‌گذاری دامنه: 
    host -t SRV _ldap._tcp.ad.example.com
  • بررسی رکوردهای A: 
    host -t A ad.example.com

6. مدیریت کاربران و گروه‌ها

ایجاد یک کاربر دامنه:

با استفاده از دستور samba-tool:

sudo samba-tool user add testuser --given-name="Test" --surname="User" --password="StrongPassword123!"
ایجاد یک گروه دامنه:
sudo samba-tool group add "IT Department"
اختصاص کاربر به گروه:
sudo samba-tool group addmembers "IT Department" testuser

7. تست و بررسی عملکرد Samba به‌عنوان DC

بررسی وضعیت Samba:

sudo samba-tool domain info localhost

بررسی کاربران و گروه‌های دامنه:

sudo samba-tool user list
sudo samba-tool group list

بررسی اتصال از کلاینت ویندوز:

  1. به Control Panel > System > Change Settings > Computer Name بروید.
  2. گزینه Domain را انتخاب کرده و نام دامنه خود را وارد کنید (مانند ad.example.com).
  3. اعتبارسنجی را با وارد کردن نام کاربری و رمز عبور کاربر دامنه (مانند Administrator) انجام دهید.

8. عیب‌یابی Samba AD DC

بررسی لاگ‌های Samba:

sudo tail -f /var/log/samba/log.smbd
sudo tail -f /var/log/samba/log.winbindd

بررسی رکوردهای DNS:

host -t SRV _kerberos._udp.ad.example.com

ابزارهای تست Samba:

  • smbclient:
    برای بررسی اشتراک‌های Samba:

    smbclient -L localhost -U "Administrator"
  • samba-tool:
    تست سلامت دامنه:

    sudo samba-tool dbcheck
sudo samba-tool ldapcmp ldap://localhost ldap://<DC-IP>

جمع بندی

پیکربندی Samba به‌عنوان AD DC یک روش قدرتمند برای مدیریت کاربران، گروه‌ها و منابع شبکه‌ای در محیط‌های مختلط است. با تنظیم صحیح و بررسی عملکرد، Samba می‌تواند به‌طور کامل نقش یک Domain Controller را در یک شبکه Active Directory ایفا کند.

مدیریت Group Policies (GPO)

ایجاد و اعمال خط‌مشی‌ها در دامنه مقاله

توضیحات کامل

Group Policy Objects (GPO) ابزار قدرتمندی برای مدیریت پیکربندی کاربران و کامپیوترها در یک دامنه Active Directory هستند. Samba در حالت Domain Controller (DC) قابلیت پشتیبانی از GPO را دارد و می‌توانید از آن برای مدیریت تنظیمات دامنه استفاده کنید.

در این بخش، نحوه ایجاد، ویرایش و اعمال GPO در دامنه‌ای که توسط Samba مدیریت می‌شود، توضیح داده شده است.

پیش‌نیازها

  1. پیکربندی Samba به‌عنوان AD Domain Controller: Samba باید به‌عنوان یک DC تنظیم شده باشد.
  2. کلاینت ویندوز: ابزارهای مدیریت GPO مانند Group Policy Management Console (GPMC) تنها در ویندوز در دسترس هستند.
  3. دسترسی به کاربر Administrator دامنه: باید بتوانید به دامنه متصل شوید و دسترسی کامل داشته باشید.

1. معرفی Group Policy Objects

GPO به دو نوع تنظیمات تقسیم می‌شود:

  1. Computer Configuration: تنظیمات مرتبط با کامپیوترها، مانند سیاست‌های امنیتی، نصب نرم‌افزار، و اسکریپت‌های راه‌اندازی.
  2. User Configuration: تنظیمات مرتبط با کاربران، مانند محدودیت‌های دسکتاپ، تنظیمات مرورگر، و موارد دیگر.

GPO از طریق Active Directory به کاربران و کامپیوترها اعمال می‌شود و می‌تواند در سطح دامنه، OU (Organizational Unit)، یا سایت تعریف شود.

2. ایجاد یک GPO جدید

گام 1: اتصال به دامنه Samba

  1. به یک کلاینت ویندوزی متصل به دامنه Samba وارد شوید.
  2. با حساب کاربری Administrator دامنه وارد شوید.

گام 2: باز کردن Group Policy Management

  1. کلیدهای Win + R را فشار دهید و gpmc.msc را اجرا کنید.
  2. کنسول مدیریت Group Policy باز خواهد شد.

گام 3: ایجاد یک GPO جدید

  1. در کنسول مدیریت، دامنه خود (مانند ad.example.com) را پیدا کنید.
  2. روی دامنه یا OU موردنظر کلیک راست کنید و گزینه Create a GPO in this domain, and Link it here را انتخاب کنید.
  3. نامی برای GPO وارد کنید (مانند “Default Security Policy”) و روی OK کلیک کنید.

3. ویرایش GPO

  1. روی GPO جدید کلیک راست کنید و گزینه Edit را انتخاب کنید.
  2. کنسول Group Policy Management Editor باز خواهد شد.
  3. تنظیمات موردنظر را در مسیرهای زیر انجام دهید:
    • Computer Configuration:
      تنظیمات مرتبط با کامپیوترها مانند:

      • تنظیمات فایروال:
        مسیر: Policies > Windows Settings > Security Settings > Windows Firewall.
      • نصب اسکریپت‌ها:
        مسیر: Policies > Windows Settings > Scripts.
    • User Configuration:
      تنظیمات مرتبط با کاربران مانند:

      • محدودیت دسترسی به کنترل پنل:
        مسیر: Policies > Administrative Templates > Control Panel.

4. اعمال GPO در دامنه

  1. پس از ایجاد و ویرایش GPO، باید آن را به یک OU یا دامنه لینک کنید.
  2. در کنسول مدیریت GPO، روی GPO کلیک راست کنید و گزینه Link an Existing GPO را انتخاب کنید.
  3. دامنه یا OU موردنظر را انتخاب کرده و GPO را لینک کنید.

اعمال فوری GPO:

برای اعمال فوری GPO در کلاینت‌ها:

  • در کامپیوتر ویندوزی کلاینت، دستور زیر را اجرا کنید: 
    gpupdate /force

5. تست و بررسی GPO

بررسی کلاینت‌ها:

  • در یک کلاینت دامنه، بررسی کنید که آیا GPO اعمال شده است یا خیر.
  • ابزار gpresult را برای بررسی GPO‌های اعمال‌شده استفاده کنید: 
    gpresult /r

رفع مشکلات GPO:

  • بررسی لاگ‌ها در کلاینت:
    مسیر: Event Viewer > Applications and Services Logs > Microsoft > Windows > GroupPolicy.
  • بررسی تنظیمات Samba: 
    sudo samba-tool gpo listall

6. مدیریت GPO با Samba

ابزارهای Samba برای GPO:

Samba امکان مدیریت GPO‌ها را از طریق دستورات فراهم می‌کند:

  • لیست GPO‌ها: 
    samba-tool gpo listall
  • نمایش جزئیات یک GPO: 
    samba-tool gpo show <GPO-GUID>
  • ایجاد یک GPO جدید:
    اگر ترجیح می‌دهید از ابزار خط فرمان استفاده کنید:

    samba-tool gpo create "PolicyName" --domain=ad.example.com

7. مثال کاربردی: سیاست رمز عبور

تنظیم سیاست رمز عبور:

  1. در GPMC، یک GPO جدید ایجاد کنید و به دامنه لینک کنید.
  2. مسیر زیر را ویرایش کنید:
    Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy.
  3. تنظیماتی مانند حداقل طول رمز عبور یا انقضای رمز عبور را پیکربندی کنید.

جمع بندی

مدیریت GPO‌ها یکی از قابلیت‌های مهم Samba در حالت AD DC است که امکان مدیریت متمرکز کاربران و کامپیوترها را فراهم می‌کند. با ابزارهای ویندوز و دستورات Samba، می‌توانید به‌سادگی GPO‌های خود را ایجاد، ویرایش و مدیریت کنید.

4. مدیریت پیشرفته Samba

عیب‌یابی Samba

استفاده از ابزارهایی مانند testparm, smbstatus, log files مقاله

توضیحات کامل

عیب‌یابی Samba: استفاده از ابزارها و لاگ‌ها

Samba مجموعه‌ای از ابزارها و امکانات برای شناسایی و رفع مشکلات احتمالی ارائه می‌دهد. این ابزارها به مدیران شبکه کمک می‌کنند تا مشکلات پیکربندی، اتصال، و عملکرد Samba را به‌سرعت تشخیص داده و رفع کنند. در این بخش، استفاده از ابزارهای مختلف مانند testparm، smbstatus و بررسی لاگ‌ها توضیح داده می‌شود.

1. ابزار testparm برای بررسی پیکربندی

testparm ابزاری است که صحت فایل پیکربندی Samba (/etc/samba/smb.conf) را بررسی می‌کند.

اجرای دستور:

sudo testparm

خروجی نمونه:

Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions

کاربردهای testparm:

  1. بررسی خطاهای فایل پیکربندی:
    اگر خطایی وجود داشته باشد، در خروجی نمایش داده می‌شود.
  2. نمایش تنظیمات نهایی Samba:
    پس از تأیید، با فشار دادن Enter، تمام تنظیمات موجود در فایل نمایش داده می‌شود.
  3. تست تنظیمات خاص:
    برای تست تنظیمات یک فایل پیکربندی خاص:

    sudo testparm /etc/samba/smb.conf.test

2. ابزار smbstatus برای مانیتورینگ اتصالات

smbstatus اطلاعاتی در مورد اتصالات فعلی، فایل‌های باز، و کاربران متصل ارائه می‌دهد.

اجرای دستور:

sudo smbstatus

خروجی نمونه:

Samba version 4.15.2
PID     Username      Group        Machine           Protocol Version
----------------------------------------------------------
1203    john          staff        192.168.1.101    SMB3_02

Service      pid     Machine       Connected at
------------------------------------------------
share        1203    192.168.1.101  Tue Dec 07 10:20:11 2024

کاربردهای smbstatus:

  1. نمایش کاربران متصل:
    ستون Username و Machine نشان می‌دهد چه کسی و از کدام ماشین متصل است.
  2. بررسی فایل‌های باز:
    لیست فایل‌های باز توسط کاربران متصل نشان داده می‌شود.
  3. مشخص کردن Process ID (PID):
    از PID برای خاتمه دادن به فرآیندهای خاص می‌توانید استفاده کنید:

    sudo kill <PID>

3. بررسی فایل‌های لاگ Samba

Samba اطلاعات مربوط به خطاها، هشدارها، و رویدادها را در فایل‌های لاگ ذخیره می‌کند. این فایل‌ها معمولاً در مسیر /var/log/samba/ قرار دارند.

فایل‌های لاگ مهم:

  • log.smbd: اطلاعات مربوط به فرآیند smbd.
  • log.nmbd: اطلاعات مربوط به فرآیند nmbd.
  • log.winbindd: اطلاعات مربوط به فرآیند winbindd.
  • log.<hostname>: لاگ‌های مربوط به یک کلاینت خاص.

نمایش لاگ‌ها:

  1. نمایش لاگ‌های اخیر: 
    sudo tail -f /var/log/samba/log.smbd
  2. جستجوی کلمه کلیدی در لاگ‌ها:
    برای پیدا کردن خطاهای خاص:

    sudo grep "ERROR" /var/log/samba/log.smbd

4. ابزارهای دیگر عیب‌یابی Samba

ابزار samba-tool:

  1. بررسی سلامت تنظیمات دامنه: 
    sudo samba-tool dbcheck
  2. بررسی و مقایسه LDAP: 
    sudo samba-tool ldapcmp ldap://localhost ldap://<DC-IP>

ابزار net:

برای تست اتصالات شبکه Samba:

  1. نمایش اشتراک‌های موجود در Samba: 
    net view \\localhost
  2. اتصال به اشتراک: 
    smbclient //localhost/share -U <username>

5. مراحل کلی برای رفع مشکلات Samba

  1. تست اولیه با testparm:
    هرگونه خطای پیکربندی را اصلاح کنید.
  2. بررسی سرویس‌های Samba:
    اطمینان حاصل کنید که سرویس‌های مربوطه در حال اجرا هستند:

    sudo systemctl status smbd
sudo systemctl status nmbd
sudo systemctl status winbind
  3. بررسی دسترسی کاربران:
    اطمینان حاصل کنید که کاربران اعتبارسنجی صحیحی دارند:

    sudo pdbedit -L
  4. بررسی لاگ‌ها:
    فایل‌های لاگ مربوطه را برای جزئیات خطاها بررسی کنید.
  5. مانیتورینگ و اشکال‌زدایی شبکه:
    از ابزارهای شبکه مانند tcpdump یا wireshark برای بررسی ترافیک Samba استفاده کنید.

6. نمونه سناریوی عیب‌یابی

مشکل: کلاینت نمی‌تواند به اشتراک Samba متصل شود.

  1. بررسی وضعیت سرویس‌ها: 
    sudo systemctl status smbd
  2. بررسی فایل لاگ مربوط به کلاینت: 
    sudo tail -f /var/log/samba/log.<client-hostname>
  3. تست اعتبارسنجی کاربر: 
    smbclient //localhost/share -U <username>
  4. بررسی فایروال:
    اطمینان حاصل کنید که پورت‌های موردنیاز Samba باز هستند:

    sudo ufw allow 139
sudo ufw allow 445
  5. استفاده از testparm برای بررسی پیکربندی: 
    sudo testparm

نتیجه‌گیری

ابزارهایی مانند testparm، smbstatus و فایل‌های لاگ، امکان بررسی و رفع مشکلات Samba را به‌صورت مؤثر فراهم می‌کنند. با استفاده از این ابزارها و فرآیندهای عیب‌یابی، می‌توانید مشکلات پیکربندی، اتصال، و عملکرد Samba را به‌سرعت شناسایی و حل کنید.

شناسایی و رفع مشکلات عملکردی Samba مقاله

توضیحات کامل

Samba یکی از مهم‌ترین ابزارها برای مدیریت اشتراک فایل و پرینتر در شبکه‌های مختلط است. مشکلات عملکردی این سرویس می‌توانند به دلایل مختلفی از جمله تنظیمات نادرست، محدودیت منابع سرور، یا مشکلات شبکه رخ دهند. در این بخش، مراحل شناسایی و رفع مشکلات عملکردی Samba به‌صورت گام‌به‌گام توضیح داده شده است.

1. شناسایی مشکلات عملکردی Samba

بررسی مشکلات رایج

  1. کندی در دسترسی به اشتراک‌ها
    • ناشی از پیکربندی نادرست، حجم بالای ترافیک یا منابع ناکافی.
  2. قطع و وصل مداوم کلاینت‌ها
    • ممکن است ناشی از مشکلات شبکه، تنظیمات احراز هویت یا محدودیت‌ها باشد.
  3. عدم اتصال کلاینت‌ها
    • می‌تواند به دلیل تنظیمات نادرست فایروال، DNS، یا مشکلات لاگین کاربران رخ دهد.

جمع‌آوری اطلاعات اولیه

  1. بررسی سرویس‌های Samba:
    اطمینان حاصل کنید که سرویس‌های اصلی Samba در حال اجرا هستند:

    sudo systemctl status smbd nmbd winbind
  2. بررسی لاگ‌ها:
    فایل‌های لاگ اطلاعات کلیدی درباره خطاها و هشدارها ارائه می‌دهند:

    sudo tail -f /var/log/samba/log.smbd

ابزارهای کاربردی برای شناسایی مشکلات

  • testparm: بررسی تنظیمات فایل پیکربندی Samba.
  • smbstatus: نمایش اتصالات فعلی و فایل‌های باز.
  • tcpdump و wireshark: تحلیل ترافیک شبکه برای بررسی ارتباطات Samba.

2. روش‌های عیب‌یابی مشکلات عملکردی Samba

گام 1: بررسی منابع سرور

  1. نمایش مصرف منابع:
    از ابزارهایی مانند top یا htop برای بررسی مصرف CPU، RAM و I/O استفاده کنید:

    top
  2. بررسی بار دیسک: 
    iostat -x

گام 2: بررسی تنظیمات Samba

  1. تست تنظیمات با testparm:
    این ابزار تنظیمات فایل smb.conf را بررسی و خطاهای احتمالی را نمایش می‌دهد:

    sudo testparm
  2. بررسی تنظیمات اشتراک‌ها:
    مطمئن شوید که تنظیمات اشتراک‌ها مانند مسیر، مجوزها و محدودیت‌ها درست هستند.

گام 3: بررسی شبکه

  1. پینگ کلاینت‌ها:
    ارتباط بین سرور و کلاینت‌ها را بررسی کنید:

    ping <client-IP>
  2. تحلیل ترافیک Samba:
    از ابزار tcpdump برای مانیتورینگ پورت‌های SMB (139 و 445) استفاده کنید:

    sudo tcpdump -i eth0 port 445

گام 4: بررسی احراز هویت و دسترسی‌ها

  1. بررسی کاربرها:
    مطمئن شوید کاربران Samba به‌درستی تعریف شده‌اند:

    sudo pdbedit -L
  2. تست دسترسی کاربران:
    از ابزار smbclient برای بررسی اتصال کاربران به اشتراک‌ها استفاده کنید:

    smbclient //server/share -U <username>

3. رفع مشکلات عملکردی Samba

مشکل 1: کندی در دسترسی به اشتراک‌ها

  • علت احتمالی: مشکلات DNS یا نام‌گذاری.
  • راه‌حل:
    1. تنظیم سرور DNS در فایل /etc/resolv.conf: 
      nameserver <DNS-IP>
    2. اطمینان از تنظیم صحیح نام سرور در فایل smb.conf: 
      netbios name = <servername>
    3. استفاده از کش DNS:
      نصب nscd برای بهبود عملکرد.

مشکل 2: قطع و وصل مداوم کلاینت‌ها

  • علت احتمالی: تنظیمات نادرست Session Timeout یا مشکلات شبکه.
  • راه‌حل:
    1. تنظیم مقدار Timeout در فایل smb.conf: 
      deadtime = 15
keepalive = 300
    2. بررسی اتصال شبکه با tcpdump.

مشکل 3: عدم دسترسی به اشتراک‌ها

  • علت احتمالی: تنظیمات اشتراک‌ها یا فایروال.
  • راه‌حل:
    1. باز کردن پورت‌های Samba در فایروال: 
      sudo ufw allow 139
sudo ufw allow 445
    2. بررسی مجوزهای پوشه: 
      chmod -R 775 /path/to/share
chown -R user:group /path/to/share

4. بهینه‌سازی عملکرد Samba

  1. فعال کردن کش فایل‌ها:
    با افزودن تنظیمات زیر به فایل smb.conf، عملکرد فایل سرور را بهبود دهید:

    socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
aio read size = 1024
aio write size = 1024
  2. بهینه‌سازی تعداد اتصال‌ها:
    محدودیت تعداد اتصالات را در تنظیمات افزایش دهید:

    max connections = 100
  3. فعال کردن لاگ‌های پیشرفته:
    سطح لاگ را برای عیب‌یابی بهتر تنظیم کنید:

    log level = 3
log file = /var/log/samba/log.%m
max log size = 5000

5. ابزارهای مفید برای مدیریت و رفع مشکلات Samba

ابزار کاربرد
testparm بررسی تنظیمات فایل smb.conf برای خطاهای پیکربندی.
smbstatus نمایش اتصالات و فایل‌های باز توسط کاربران.
pdbedit مدیریت پایگاه داده کاربران Samba.
tcpdump بررسی و تحلیل ترافیک شبکه برای شناسایی مشکلات ارتباطی.
samba-tool مدیریت و بررسی تنظیمات دامنه Samba.

جمع بندی

رفع مشکلات عملکردی Samba نیازمند رویکرد سیستماتیک است که شامل بررسی تنظیمات، منابع سرور، شبکه، و احراز هویت می‌شود. با استفاده از ابزارها و روش‌های توضیح داده‌شده، می‌توانید مشکلات مختلف را شناسایی کرده و بهبودهای لازم را اعمال کنید.

مدیریت امنیت Samba

پیکربندی سطح رمزگذاری و احراز هویت در Samba مقاله

توضیحات کامل

پیکربندی صحیح سطح رمزگذاری و احراز هویت در Samba اهمیت زیادی در امنیت ارتباطات شبکه دارد. این پیکربندی از انتقال داده‌ها به صورت امن و جلوگیری از دسترسی غیرمجاز به منابع اشتراکی اطمینان حاصل می‌کند. در این بخش، مراحل پیکربندی رمزگذاری و احراز هویت در Samba را به صورت گام‌به‌گام بررسی می‌کنیم.

1. اهمیت رمزگذاری و احراز هویت در Samba

  • رمزگذاری:
    رمزگذاری ارتباطات میان کلاینت‌ها و سرور مانع از شنود یا سرقت اطلاعات در شبکه می‌شود.
  • احراز هویت:
    احراز هویت کاربران تضمین می‌کند که فقط افراد مجاز به منابع اشتراکی دسترسی دارند.

Samba از پروتکل SMB و نسخه‌های مختلف آن پشتیبانی می‌کند. نسخه‌های جدیدتر مانند SMB 3.0 امکانات پیشرفته‌ای برای رمزگذاری و احراز هویت دارند.

2. تنظیم سطح رمزگذاری در Samba

گام 1: استفاده از نسخه‌های امن SMB

نسخه‌های قدیمی SMB (مانند SMBv1) آسیب‌پذیری‌های امنیتی شناخته‌شده‌ای دارند. توصیه می‌شود فقط از SMB 2.0 یا SMB 3.0 استفاده کنید.

برای اعمال این تنظیم در فایل /etc/samba/smb.conf:

[global]
   server min protocol = SMB2
   server max protocol = SMB3
   encrypt passwords = yes

گام 2: فعال‌سازی رمزگذاری ارتباطات

برای فعال کردن رمزگذاری SMB، می‌توانید گزینه‌های زیر را در فایل smb.conf اضافه کنید:

[global]
   smb encrypt = required

توضیحات:

  • required: تمام ارتباطات باید رمزگذاری شوند.
  • desired: رمزگذاری در صورت پشتیبانی کلاینت اعمال می‌شود.
  • off: رمزگذاری غیرفعال است.

گام 3: بررسی پشتیبانی کلاینت‌ها

برای اطمینان از سازگاری کلاینت‌ها با رمزگذاری SMB، اطمینان حاصل کنید که سیستم‌های کلاینت از SMB 3.0 پشتیبانی می‌کنند.

3. تنظیم احراز هویت در Samba

گام 1: پیکربندی احراز هویت مبتنی بر رمز عبور

Samba به صورت پیش‌فرض از پایگاه داده محلی برای احراز هویت کاربران استفاده می‌کند. مطمئن شوید که گزینه encrypt passwords فعال است:

[global]
   encrypt passwords = yes

گام 2: ایجاد کاربران Samba

برای ایجاد یک کاربر Samba:

sudo smbpasswd -a username

کاربر باید قبلاً در سیستم تعریف شده باشد.

گام 3: ادغام با Active Directory (در صورت استفاده)

برای یکپارچه‌سازی احراز هویت با Active Directory:

  1. اطمینان از نصب و تنظیم ابزارهای موردنیاز: 
    sudo apt install samba winbind libpam-winbind libnss-winbind
  2. پیکربندی فایل smb.conf برای استفاده از Kerberos و Active Directory: 
    [global]
   security = ads
   realm = YOURDOMAIN.COM
   workgroup = YOURDOMAIN
   password server = your.ad.server
  3. اتصال سرور به دامنه: 
    sudo realm join --user=administrator yourdomain.com

گام 4: استفاده از Kerberos برای احراز هویت

Kerberos یک پروتکل امن برای احراز هویت است که می‌تواند با Samba یکپارچه شود.

  1. اطمینان از تنظیم صحیح Kerberos در فایل /etc/krb5.conf: 
    [libdefaults]
   default_realm = YOURDOMAIN.COM
  2. تست احراز هویت Kerberos: 
    kinit username
klist

4. مدیریت سیاست‌های رمزگذاری و احراز هویت

تنظیم سیاست‌های امنیتی در Samba

برای محدود کردن دسترسی بر اساس کاربران، گروه‌ها یا کلاینت‌ها:

  • محدود کردن کاربران: 
    [share]
   valid users = @group_name user_name
  • محدود کردن دسترسی از طریق آدرس IP: 
    [share]
   hosts allow = 192.168.1.0/24
   hosts deny = 0.0.0.0/0

استفاده از Group Policy (GPO)

اگر Samba به عنوان دامنه کنترلر (DC) پیکربندی شده باشد، می‌توانید از GPO برای اعمال سیاست‌های امنیتی استفاده کنید، مانند تغییر رمز عبور، قفل کردن حساب‌ها بعد از تلاش ناموفق، و تنظیمات پیشرفته امنیتی.

5. تست و بررسی تنظیمات امنیتی Samba

تست تنظیمات فایل smb.conf

ابزار testparm برای بررسی تنظیمات فایل:

sudo testparm

تست احراز هویت کاربران

از ابزار smbclient برای تست دسترسی کاربران به اشتراک‌ها:

smbclient //server/share -U username

بررسی لاگ‌ها

برای مشاهده تلاش‌های موفق و ناموفق برای دسترسی:

sudo tail -f /var/log/samba/log.smbd

6. بهبود امنیت با مکانیزم‌های اضافی

  1. فعال کردن محدودیت‌های دسترسی به سطح فایل‌ها (ACLs)
    استفاده از ACL برای تعریف دقیق دسترسی کاربران و گروه‌ها به فایل‌ها و دایرکتوری‌ها:

    setfacl -m u:username:rwx /path/to/share
  2. فعال کردن احراز هویت چندعاملی (MFA)
    یکپارچه‌سازی با سرویس‌های خارجی برای احراز هویت چندمرحله‌ای.
  3. تنظیم سطح لاگ پیشرفته
    افزایش سطح لاگ برای شناسایی فعالیت‌های مشکوک:

    log level = 3

جمع بندی

پیکربندی سطح رمزگذاری و احراز هویت در Samba یکی از اصول اساسی برای ایمن‌سازی ارتباطات شبکه است. با استفاده از تنظیمات پیشنهادشده می‌توانید از محرمانگی و یکپارچگی داده‌ها اطمینان حاصل کنید.

محدود کردن دسترسی‌ها بر اساس آدرس‌های IP یا قوانین امنیتی در Samba مقاله

توضیحات کامل

یکی از روش‌های مهم برای افزایش امنیت در Samba، محدود کردن دسترسی به منابع اشتراکی بر اساس آدرس‌های IP و قوانین امنیتی است. این کار به شما امکان می‌دهد تا دسترسی به منابع را به گروه خاصی از کلاینت‌ها محدود کنید و از دسترسی غیرمجاز جلوگیری کنید.

1. تنظیمات اولیه در فایل smb.conf

فایل اصلی پیکربندی Samba، یعنی /etc/samba/smb.conf، شامل بخش‌های مختلفی است که می‌توانید تنظیمات دسترسی را به صورت کلی یا برای هر اشتراک به صورت جداگانه اعمال کنید.

محدود کردن دسترسی بر اساس آدرس IP:

برای محدود کردن دسترسی به اشتراک‌ها بر اساس محدوده یا آدرس‌های خاص IP از پارامترهای زیر استفاده کنید:

[global]
   hosts allow = 192.168.1.0/24 10.0.0.5
   hosts deny = 0.0.0.0/0
  • hosts allow: آدرس‌ها یا محدوده‌هایی که اجازه دسترسی دارند.
  • hosts deny: آدرس‌هایی که دسترسی ندارند. مقدار پیش‌فرض 0.0.0.0/0 یعنی تمام آدرس‌ها.

محدودیت برای یک اشتراک خاص:

می‌توانید این تنظیمات را فقط برای یک اشتراک خاص اعمال کنید:

[share]
   path = /srv/samba/share
   read only = no
   hosts allow = 192.168.1.100 10.0.0.0/24
   hosts deny = 0.0.0.0/0

2. تعریف قوانین دسترسی دقیق‌تر

محدود کردن دسترسی بر اساس نام میزبان (Hostname)

علاوه بر آدرس IP، می‌توانید دسترسی را بر اساس نام میزبان محدود کنید. این کار با شرط اینکه Samba بتواند نام میزبان را به درستی به IP ترجمه کند، ممکن است:

[share]
   hosts allow = workstation1.example.com

استفاده از قوانین ترکیبی:

می‌توانید دسترسی را برای چندین گروه از IPها و میزبان‌ها تعریف کنید:

[share]
   hosts allow = 192.168.1.0/24 workstation2.example.com 10.0.0.5
   hosts deny = 0.0.0.0/0

3. محدودیت دسترسی پیشرفته با فایروال

علاوه بر تنظیمات داخل فایل smb.conf، می‌توانید از قوانین فایروال برای محدود کردن دسترسی به پورت‌های مورد استفاده Samba استفاده کنید:

پورت‌های مورد استفاده Samba:

  • TCP 445: برای SMB در حالت مستقیم.
  • UDP و TCP 137-139: برای نسخه‌های قدیمی SMB.

مثال با استفاده از iptables:

برای محدود کردن دسترسی Samba فقط به محدوده IP خاص:

sudo iptables -A INPUT -p tcp --dport 445 -s 192.168.1.0/24 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 445 -j DROP

تنظیم با UFW (در توزیع‌های مبتنی بر Debian/Ubuntu):

اگر از UFW استفاده می‌کنید، قوانین زیر را اعمال کنید:

sudo ufw allow from 192.168.1.0/24 to any port 445
sudo ufw deny 445

4. پیکربندی فایروال داخلی Samba

در برخی موارد، می‌توانید از تنظیمات داخلی Samba برای مدیریت دسترسی استفاده کنید. این تنظیمات به خصوص در محیط‌های پیچیده با چندین اشتراک مفید است.

مثال برای محدودیت به آدرس‌های محلی:

[global]
   interfaces = lo eth0
   bind interfaces only = yes
  • interfaces: تعیین رابط‌های شبکه‌ای که Samba به آنها گوش دهد.
  • bind interfaces only: محدود کردن Samba به رابط‌های تعریف‌شده.

5. عیب‌یابی و تست تنظیمات

بررسی صحت فایل smb.conf:

ابزار testparm برای بررسی خطاهای پیکربندی:

sudo testparm

تست دسترسی از کلاینت:

برای تست اتصال از کلاینت می‌توانید از ابزار smbclient استفاده کنید:

smbclient //server/share -U username

مانیتورینگ درخواست‌ها:

برای بررسی تلاش‌های موفق و ناموفق دسترسی به Samba، فایل لاگ‌ها را مشاهده کنید:

sudo tail -f /var/log/samba/log.smbd

جمع بندی

محدود کردن دسترسی‌ها بر اساس آدرس‌های IP یا قوانین امنیتی یکی از روش‌های اساسی برای افزایش امنیت Samba است. این تنظیمات به شما امکان می‌دهند که کنترل دقیقی روی کلاینت‌ها داشته باشید و دسترسی غیرمجاز را کاهش دهید. با استفاده از تنظیمات smb.conf و قوانین فایروال می‌توانید محیطی امن و قابل‌اعتماد ایجاد کنید.

پشتیبان‌گیری و بازیابی Samba

ذخیره تنظیمات و داده‌ها مقاله

توضیحات کامل

پشتیبان‌گیری و بازیابی تنظیمات و داده‌های Samba یک فرآیند ضروری برای تضمین تداوم خدمات و کاهش زمان خرابی در شرایط پیش‌بینی‌نشده است. در این بخش، نحوه پشتیبان‌گیری و بازیابی تنظیمات و داده‌های Samba به صورت گام‌به‌گام بررسی می‌شود.

1. پشتیبان‌گیری از تنظیمات Samba

1.1 فایل‌های پیکربندی اصلی

فایل‌های پیکربندی Samba در مسیر زیر قرار دارند و باید برای بازیابی تنظیمات پشتیبان‌گیری شوند:

  • /etc/samba/smb.conf: فایل اصلی تنظیمات.
  • /etc/krb5.conf: اگر از Kerberos استفاده می‌کنید.
  • فایل‌های مرتبط با DNS و Active Directory در صورت پیکربندی AD.

دستور برای پشتیبان‌گیری از فایل‌ها:

sudo cp /etc/samba/smb.conf /backup/smb.conf.bak
sudo cp /etc/krb5.conf /backup/krb5.conf.bak

1.2 پایگاه داده کاربران Samba

Samba اطلاعات کاربران خود را در فایل زیر ذخیره می‌کند:

  • /var/lib/samba/private: حاوی فایل‌های رمزنگاری، پایگاه داده کاربران و اطلاعات دامنه است.

دستور برای پشتیبان‌گیری از پایگاه داده کاربران:

sudo tar -czvf /backup/samba_private_backup.tar.gz /var/lib/samba/private

2. پشتیبان‌گیری از داده‌های اشتراکی

2.1 شناسایی مسیرهای اشتراکی

مسیرهای اشتراکی که در فایل smb.conf تعریف شده‌اند باید پشتیبان‌گیری شوند. این مسیرها اغلب شامل فایل‌ها و دایرکتوری‌های کاربران است. برای شناسایی آن‌ها فایل smb.conf را مرور کنید:

grep "path =" /etc/samba/smb.conf

2.2 پشتیبان‌گیری از داده‌ها

از ابزارهای پشتیبان‌گیری مانند rsync یا tar برای ذخیره نسخه پشتیبان از داده‌ها استفاده کنید.

مثال با rsync:

sudo rsync -av --progress /path/to/share /backup/shared_backup/

مثال با tar:

sudo tar -czvf /backup/shared_backup.tar.gz /path/to/share

3. ایجاد برنامه زمان‌بندی پشتیبان‌گیری

3.1 استفاده از cron برای پشتیبان‌گیری خودکار

پشتیبان‌گیری منظم، خطر از دست دادن داده‌ها را کاهش می‌دهد. برای تنظیم برنامه خودکار، از cron استفاده کنید:

  1. ویرایش فایل cron: 
    crontab -e
  2. افزودن دستور پشتیبان‌گیری: 
    0 2 * * * sudo rsync -av /path/to/share /backup/shared_backup/

3.2 بررسی لاگ‌ها

برای اطمینان از موفقیت‌آمیز بودن پشتیبان‌گیری، لاگ‌ها را بررسی کنید:

sudo tail -f /var/log/backup.log

4. بازیابی تنظیمات و داده‌های Samba

4.1 بازیابی فایل‌های پیکربندی

برای بازیابی تنظیمات Samba، فایل‌های پشتیبان‌گیری شده را به مکان اصلی خود بازگردانید:

sudo cp /backup/smb.conf.bak /etc/samba/smb.conf
sudo cp /backup/krb5.conf.bak /etc/krb5.conf

4.2 بازیابی پایگاه داده کاربران

برای بازگرداندن اطلاعات کاربران Samba:

sudo tar -xzvf /backup/samba_private_backup.tar.gz -C /

4.3 بازیابی داده‌های اشتراکی

برای بازگرداندن داده‌های اشتراکی از ابزار مورد استفاده در پشتیبان‌گیری استفاده کنید.

مثال با rsync:

sudo rsync -av /backup/shared_backup/ /path/to/share/

مثال با tar:

sudo tar -xzvf /backup/shared_backup.tar.gz -C /

5. بررسی پس از بازیابی

تست دسترسی کلاینت‌ها

پس از بازیابی، از یک کلاینت شبکه برای تست دسترسی به منابع اشتراکی استفاده کنید:

smbclient //server/share -U username

بررسی لاگ‌ها

برای اطمینان از عملکرد صحیح Samba پس از بازیابی:

sudo tail -f /var/log/samba/log.smbd

جمع‌بندی

پشتیبان‌گیری و بازیابی تنظیمات و داده‌های Samba یک فرآیند کلیدی برای اطمینان از تداوم خدمات و جلوگیری از از دست رفتن داده‌ها است. با ایجاد یک برنامه زمان‌بندی منظم و استفاده از ابزارهای مناسب، می‌توانید پشتیبان‌گیری‌های قابل اطمینانی داشته باشید.

بازیابی Samba از خرابی مقاله

توضیحات کامل

بازیابی از خرابی (Disaster Recovery) برای Samba یکی از حیاتی‌ترین فرآیندهایی است که باید در هر محیط تولیدی (Production) به دقت برنامه‌ریزی شود. این فرآیند شامل بازیابی تنظیمات، داده‌ها و سرویس‌ها به وضعیت قبلی است تا خدمات به سرعت و با حداقل اختلال بازیابی شوند.

1. بررسی وضعیت اولیه سیستم

1.1 شناسایی نوع خرابی

  • آیا سرویس Samba کار نمی‌کند؟
  • آیا داده‌ها یا فایل‌های اشتراکی از دست رفته‌اند؟
  • آیا فایل‌های پیکربندی آسیب دیده‌اند؟

1.2 بررسی لاگ‌ها

ابتدا لاگ‌های Samba را برای شناسایی خطاها بررسی کنید:

sudo tail -f /var/log/samba/log.smbd
sudo tail -f /var/log/samba/log.nmbd
sudo tail -f /var/log/samba/log.winbindd

1.3 تست سرویس Samba

وضعیت سرویس‌های Samba را بررسی کنید:

sudo systemctl status smbd nmbd winbind

2. بازیابی فایل‌های پیکربندی

2.1 بازیابی تنظیمات اصلی Samba

اگر فایل پیکربندی smb.conf آسیب دیده یا حذف شده است، نسخه پشتیبان آن را بازگردانید:

sudo cp /backup/smb.conf.bak /etc/samba/smb.conf

2.2 تست فایل پیکربندی

پس از بازیابی، صحت تنظیمات را با testparm بررسی کنید:

sudo testparm

2.3 راه‌اندازی مجدد سرویس Samba

پس از بازیابی تنظیمات، سرویس‌های Samba را راه‌اندازی مجدد کنید:

sudo systemctl restart smbd nmbd winbind

3. بازیابی پایگاه داده کاربران و تنظیمات خصوصی

3.1 بازگرداندن پایگاه داده

اگر پایگاه داده کاربران یا اطلاعات مرتبط با Active Directory حذف شده است، فایل‌های پشتیبان زیر را بازگردانید:

sudo tar -xzvf /backup/samba_private_backup.tar.gz -C /

3.2 بررسی کاربران و گروه‌ها

اطمینان حاصل کنید که کاربران و گروه‌های Samba بازگردانده شده‌اند:

sudo pdbedit -L

4. بازیابی داده‌های اشتراکی

4.1 بازگرداندن داده‌ها از نسخه پشتیبان

برای بازیابی داده‌های اشتراکی، از ابزارهای پشتیبان‌گیری مانند rsync یا tar استفاده کنید.
مثال با rsync:

sudo rsync -av /backup/shared_backup/ /path/to/share/

مثال با tar:

sudo tar -xzvf /backup/shared_backup.tar.gz -C /

4.2 بررسی دسترسی به اشتراک‌ها

با استفاده از یک کلاینت شبکه بررسی کنید که اشتراک‌ها قابل‌دسترسی هستند:

smbclient //server/share -U username

5. بازگرداندن عضویت دامنه Active Directory

5.1 بازگرداندن اتصال به دامنه

اگر Samba به دامنه Active Directory متصل نباشد، از ابزارهای زیر برای اتصال مجدد استفاده کنید:

sudo realm join --user=admin@example.com example.com
sudo net ads join -U administrator

5.2 تست اتصال دامنه

اتصال دامنه را بررسی کنید:

sudo wbinfo -u
sudo wbinfo -g

6. عیب‌یابی پس از بازیابی

6.1 بررسی لاگ‌های Samba

پس از بازیابی، لاگ‌ها را برای شناسایی هرگونه مشکل جدید بررسی کنید:

sudo tail -f /var/log/samba/log.smbd

6.2 تست سرویس Samba

عملکرد صحیح سرویس Samba را با استفاده از ابزارهای زیر بررسی کنید:

sudo smbstatus
sudo testparm

6.3 مانیتورینگ وضعیت سیستم

با استفاده از ابزارهایی مانند top، iotop، و netstat عملکرد Samba را زیر نظر بگیرید.

7. اقدامات پیشگیرانه برای آینده

7.1 ایجاد نسخه پشتیبان منظم

  • برنامه‌ای برای پشتیبان‌گیری منظم تنظیم کنید (با استفاده از cron).
  • فایل‌های /etc/samba و داده‌های اشتراکی را در بازه‌های زمانی منظم پشتیبان‌گیری کنید.

7.2 استفاده از راهکارهای مانیتورینگ

برای پیشگیری از خرابی‌های مشابه، سرویس Samba را با ابزارهایی مانند Prometheus یا Nagios مانیتور کنید.

7.3 مستندسازی فرآیند بازیابی

تمام مراحل بازیابی را مستند کنید تا در صورت نیاز تیم‌های دیگر بتوانند از آن استفاده کنند.

جمع‌بندی

بازیابی Samba از خرابی یک فرآیند چندمرحله‌ای است که شامل بازگرداندن فایل‌های پیکربندی، داده‌های اشتراکی، و اتصال به دامنه Active Directory است. با داشتن نسخه‌های پشتیبان منظم و استفاده از ابزارهای عیب‌یابی، می‌توانید زمان بازیابی را کاهش داده و سرویس‌ها را به سرعت به حالت عادی بازگردانید.

5. مدیریت سرویس‌های شبکه مرتبط

نصب و تنظیم OpenLDAP مقاله

نوضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.

استفاده از LDAP برای احراز هویت و مدیریت دایرکتوری مقاله

نوضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.

مدیریت DNS برای Samba

تنظیم DNS یکپارچه برای دامین‌های Active Directory مقاله

نوضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.

مدیریت Kerberos

 

نصب و پیکربندی Kerberos برای امنیت و یکپارچگی مقاله

نوضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.
6. پیکربندی امنیت در محیط‌های مختلط

امنیت Samba و Active Directory

مدیریت رمزنگاری SMB و نسخه‌های پروتکل مقاله

توضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.

پیکربندی احراز هویت دو مرحله‌ای (Two-Factor Authentication) در Samba مقاله

توضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.

مدیریت دیوار آتش و سیاست‌های شبکه

تنظیم فایروال برای سرویس‌های Samba مقاله

توضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.

مانیتورینگ و لاگ‌ها

تنظیم لاگ‌های Samba برای تحلیل امنیتی مقاله

توضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.
7. مدیریت کاربران و منابع در محیط‌های مختلط

احراز هویت و مدیریت کاربران

استفاده از ابزار pdbedit برای مدیریت پایگاه‌داده کاربران Samba مقاله

توضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.

مدیریت منابع اشتراکی

 

پیکربندی کوتاهای دیسک و مانیتورینگ مصرف منابع در Samba مقاله

توضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.

سیاست‌های کنترل دسترسی (ACL)

تنظیم و مدیریت دسترسی کاربران و گروه‌ها به فایل‌ها و منابع در Samba مقاله

توضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.
8. مانیتورینگ و عیب‌یابی محیط‌های مختلط

ابزارهای مانیتورینگ

استفاده از ابزارهایی مانند top, iotop, و netstat برای تحلیل عملکرد Samba مقاله

توضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.

عیب‌یابی مشکلات ارتباطی

 

استفاده از ابزارهایی مانند tcpdump, wireshark برای تحلیل ترافیک شبکه مقاله

توضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.

رفع مشکلات کاربران

بررسی دسترسی‌های کاربران و لاگ‌های Samba مقاله

توضیحات کامل

خصوصی
این بخش خصوصی می باشد. برای دسترسی کامل به دروس این دوره باید این دوره را خریداری نمایید.
ویدئو های دوره

پارت 1: معرفی دوره ویدئو

پیش نمایش

پارت 2: آموزش اسکن شبکه با ابزارهای مختلف ویدئو

خصوصی

پارت 3: نصب و پیکربندی نرم افزار freeRADIUS ویدئو

خصوصی

پارت 4: نصب و راه اندازی نرم افزار مانیتورینگ cacti ویدئو

خصوصی

پارت 5: اسکن شبکه با نرم افزار OpenVAS ویدئو

خصوصی

پارت 6: نصب و پیکربندی برنامه SNORT ویدئو

خصوصی

پارت 7: آشنایی با مفاهیم اولیه فایروال ویدئو

خصوصی

پارت 8: پیاده سازی DMZ با استفاده از iptables ویدئو

خصوصی

پارت 9: نصب و راه اندازی firewalld بر روی لینوکس اوبونتو ویدئو

خصوصی

پارت 10: نصب و راه اندازی OpenVPN در لینوکس اوبونتو ویدئو

خصوصی

پارت 11: آموزش راه اندازی IPSec VPN ویدئو

خصوصی

فایل ضمیمه ویدئو

خصوصی
پاسخ به سوالات فنی کاربران

پشتیبانی دائمی و در لحظه رایگان

توضیحات کامل

ما در این دوره تمام تلاش خود را کرده‌ایم تا محتوایی جامع و کاربردی ارائه دهیم که شما را برای ورود به دنیای حرفه‌ای آماده کند. اما اگر در طول دوره یا پس از آن با سوالات فنی، چالش‌ها یا حتی مشکلاتی در اجرای مطالب آموزشی مواجه شدید، نگران نباشید!

  1. پرسش‌های شما، بخش مهمی از دوره است:
    هر سوال یا مشکلی که مطرح کنید، با دقت بررسی شده و پاسخ کامل و کاربردی برای آن ارائه می‌شود. علاوه بر این، سوالات و پاسخ‌های شما به دوره اضافه خواهند شد تا برای سایر کاربران نیز مفید باشد.
  2. پشتیبانی دائمی و در لحظه:
    تیم ما همواره آماده پاسخگویی به سوالات شماست. هدف ما این است که شما با خیالی آسوده بتوانید مهارت‌های خود را به کار بگیرید و پروژه‌های واقعی را با اعتماد به نفس کامل انجام دهید.
  3. آپدیت دائمی دوره:
    این دوره به طور مداوم به‌روزرسانی می‌شود تا همگام با نیازهای جدید و سوالات کاربران تکمیل‌تر و بهتر گردد. هر نکته جدید یا مشکل رایج، در نسخه‌های بعدی دوره قرار خواهد گرفت.

حرف آخر

با ما همراه باشید تا نه تنها به مشکلات شما پاسخ دهیم، بلکه در مسیر یادگیری و پیشرفت حرفه‌ای، شما را پشتیبانی کنیم. هدف ما این است که شما به یک متخصص حرفه‌ای و قابل‌اعتماد تبدیل شوید و بتوانید با اطمینان پروژه‌های واقعی را بپذیرید و انجام دهید.

📩 اگر سوالی دارید یا به مشکلی برخوردید، همین حالا مطرح کنید!
ما در کوتاه‌ترین زمان ممکن پاسخ شما را ارائه خواهیم داد. 🙌

درخواست مشاوره

برای کسب اطلاعات بیشتر درباره این دوره درخواست مشاوره خود را ارسال کنید و یا با ما در تماس باشید.

درخواست مشاوره
021-66416682

نیاز به مشاوره دارید؟

در صورتی که نیاز به مشاوره دارید می توانید فرم را تکمیل نمایید و یا با ما در تماس باشید

درخواست مشاوره رایگان





    دوره های مرتبط

    پک آموزشی 202 Linux LPIC-2 به زبان فارسی (Linux Engineer)

    دوره آموزشی LPIC-2 Exam 202 (Linux Engineer – Advanced Level)

    دوره 100% عملی و کاربردی تدریس شده

    پک آموزشی 201 Linux LPIC-2 به زبان فارسی (Linux Engineer)

    دوره آموزشی LPIC-2 Exam 201: Advanced Level Linux Certification

    دوره 100% عملی و کاربردی تدریس شده

    دوره آموزشی Tunnelling در Linux

    آموزش پیشرفته نصب و پیکربندی سرویس های امنیتی Tunnelling در Linux

    دوره 100% عملی و کاربردی تدریس شده

    cwp

    دوره آموزشی CWP (Linux Web Services and Hosting)

    دوره 100% عملی و کاربردی تدریس شده

    امتیاز دانشجویان دوره

    0
    بدون امتیاز 0 رای
    قیمت اصلی 1,260,000 تومان بود.قیمت فعلی 593,000 تومان است.
    0 رأی
    5 ستاره
    0
    4 ستاره
    0
    3 ستاره
    0
    2 ستاره
    0
    1 ستاره
    0

    نظرات

    تنها اشخاصی که این محصول را خریداری کرده اند و وارد سایت شده اند می توانند در مورد این محصول بازبینی ارسال کنند.

    قیمت :

    قیمت اصلی 1,260,000 تومان بود.قیمت فعلی 593,000 تومان است.

    امتیاز
    0 از 0 رأی
    بدون امتیاز 0 رای
    قیمت اصلی 1,260,000 تومان بود.قیمت فعلی 593,000 تومان است.
    تعداد دانشجو : 77
    نوع دوره: پک آموزشی
    سطح دوره: حرفه ای
    زبان: فارسی
    1 گيگابايت
    روش دریافت: دانلود فایل
    روش پشتیبانی: ارسال تیکت
    درصد پیشرفت دوره: %100
    4.67k بازدید 0 دیدگاه
    مهندس موسی رشوند
    مهندس موسی رشوند
     متخصص و مدیر دپارتمان لینوکس و امنیت

    دسته: