Configurando Samba

capítulo 2

En esta práctica veremos cómo configurar samba para permitir el acceso de invitados
autenticados, para lo cual vamos a tomar el archivo smb.conf de la práctica pasada y lo vamos a
respaldar haciendo una copia y modificando su nombre por smb.conf.practica1, quedándonos el
archivo smb.conf que es el que vamos a modificar y a configurar de la siguiente manera:

[global]
workgroup = WORKGROUP
netbios name = SA

map to guest = Bad User

log file = /var/log/samba/%m

log level = 1

[guest]
# This share allows anonymous (guest) access
# without authentication!
path = /srv/samba/guest/
read only = no
guest ok = yes

[demo]
# This share requires authentication to access
path = /srv/samba/demo/
read only = no
guest ok = no

Podemos apreciar que el archivo de configuración posee dos entradas aparte del global que son demo y
guest y que hacen referencia a dos carpetas compartidas que permitirán el acceso de invitados, las
carpetas serán creadas mas adelante, en el caso del parámetro map to guest, al ponerlo como bad user
faculta o habilita el acceso invitado, si se desea eliminar el acceso, eliminar el map to guest o
configurarlo para que sea su valor por defecto que es Never, también habilitamos la bitácora para que
guarde registro de los accesos a los recursos.
Creación de una cuenta de usuario local
Para proporcionar autenticación en un servidor independiente, crearemos las cuentas de forma local en
el sistema operativo y, además, en la base de datos de Samba, Samba guarda en la base de datos
tdbsam y la ubica en el /usr/local/samba/private/passdb.tdb

Una vez que ubicamos este archivo, vamos a crear una cuenta llamada demouser en el sistema local:

# Useradd -M -s /sbin/nologin demouser

El parámetro –m indica que el usuario no tendrá una carpeta home, ya que no permitirá el acceso login
sino solamente el acceso a un recurso compartido, entonces este usuario no tendrá el derecho de
acceso a shell

Establecemos el password y esto hará que la cuenta se active en el SO

# passwd demouser
Enter new UNIX password: Passw0rd
Retype new UNIX password: Passw0rd
passwd: password updated successfully
Ahora vamos a Añadir la cuenta de usuario demouser que acabamos de crear a la base de datos de
Samba:

# smbpasswd -a demouser
New SMB password: Passw0rd
Retype new SMB password: Passw0rd
Added user demouser.

Aplicamos la misma acción, pero ahora con el parámetro –e (enable) para activar al usuario en la base
de datos de samba, debemos aplicar en caso de que lo solicite la misma contraseña que pusimos al
usuario local.

# smbpasswd -e demouser
Enabled user demouser.

Configurando grupo de usuarios

Vamos a crear un grupo en el cual asignaremos al usuario que creamos para poder manejar los
privilegios grupales, el nombre del grupo será demogroup y asignamos a demouser a este grupo:

# Groupadd demogroup
# Usermod -G demogroup demouser

Creación de los directorios compartidos

En el archivo smb.conf dimos de alta dos carpetas compartidas, las cuales vamos a crear en este
momento para el acceso, entonces utilizando mkdir crearemos los grupos que vamos a compartir

# mkdir -p /srv/samba/guest/
# mkdir -p /srv/samba/demo/

Configuración los permisos de acceso en los

directorios compartidos
Para establecer un mecanismo de permisos para los accesos de usuario a los archivos vamos a aplicar
el uso de la configuración especial de permisos numérica octal basada en 4 bits, normalmente con el
comando chmod estableceremos permisos a 3 bits, sin embargo podemos añadir configuración
adicional utilizando un bit previo, a continuación analizamos cuáles son los modos de estos bit.
El Sticky bit o valor 1 se utiliza para permitir que cualquiera pueda escribir y modificar sobre un archivo
o directorio, pero que solo su propietario o root pueda eliminarlo. Para probarlo vamos a crear un archivo
llamado prueba.txt y ejecutemos el permiso:

Chmod 1755 prueba.txt

Donde entonces ubicamos que el 1 al principio indica el uso del sticky bit y el 755 que corresponde a los
permisos de: El propietario del fichero puede leer, escribir y ejecutar el archivo.
Todos los demás usuarios pueden leer y ejecutar el archivo.

Ahora aplicamos ls –l para ver el listado de archivos y ubicaremos que al final de la lista de permisos del
archivo prueba.txt encontraremos una t que indica que el sticky bit ha sido aplicado.

El SUID bit o valor 4 significa que el que ejecute el archivo va a tener los mismos permisos que el que
lo creó. Esto puede llegar a ser muy útil en algunas situaciones, sin embargo como este bit es destinado
a programas sh, el dar el permiso de modificación nos representa un fuerte problema de seguridad, para
que sea efectivo el archivo debe tener permisos de ejecución. (En este momento no es necesario que lo
probemos)

Se activará como chmod 4775.prueba.sh

El SGID bit o valor 2 es lo mismo que en el SUID, pero a nivel de grupo. Es decir, todo archivo que
tenga activo el SGID, al ser ejecutado, tendrá los privilegios del grupo al que pertenece. Esto es muy
usado cuando queremos configurar un directorio colaborativo: si aplicamos este bit al directorio,
cualquier archivo creado en dicho directorio, tendrá asignado el grupo al que pertenece el directorio.
Este será el bit que activaremos en la configuración de acceso a los directorios siguiente, primero vamos
a cambiar todo el directorio asignándole all grupo que acabamos de crear con el comando chgrp:

# Chgrp -R demogroup /srv/samba/guest/

# Chgrp -R demogroup /srv/samba/demo/

# Chmod 2775 /srv/samba/guest/

# Chmod 2770 /srv/samba/demo/

Esto configura el acceso de escritura a los miembros del demogroup en ambos

directorios. Otros usuarios tienen acceso de lectura en el /srv/samba/guest/ y no tienen
acceso en el /srv/samba/demo/directorio. El bit SGID, en este caso representado por el 2
previo al permiso 775 hereda el grupo del directorio padre en lugar de colocarla a los
usuarios grupo primario cuando se crean nuevos archivos. A este tipo de permisos se le
conoce como POSIX ACL

Ahora si ya tenemos las carpetas, usuarios, permisos y la configuración del archivo

smb.conf, ahora vamos a recargar nuestro servicio samba con el fin de que esta nueva
configuración surta efecto y podamos realizar pruebas, utilizamos el comando restart, y
resolvemos cualquier eventualidad que pudiera presentarse en el proceso de recarga,
cuando el servicio esté listo, vamos a hacer una prueba desde nuestro mismo sistema
Windows, como en la práctica anterior buscando la carpeta por la dirección IP, y nos
logueamos con nuestras credenciales del demouser, y después intentemos ingresar
utilizando la cuenta invitado o guest. Y a los dos recursos demo y guest.
Nos conectamos a la ip \\192.168.1.147 y vemos las carpetas “demo” y “guest”

Si queremos iniciar a “demo” debemos mostrar nuestras credenciales del usuario creado
en linux, es decir, “demouser” con su respectiva contraseña.
 Después podemos crear archivos o modificarlos pero, no eliminarlos (la carpeta).
Documentar conclusiones, y sobre todo aquellas modificaciones o adecuaciones
realizadas para tu distribución.
Con está práctiva vi que samba nos da la posibilidad de compartir archivos y carpetas y
poder validar las credenciales del usuario, esto sería muy eficaz en un ambiente laboral en
el que se ocupa tener controlador que usuario, puede realizar ciertas acciones sobre
archivos.