23.11. Работа с домашними каталогами пользователей в Samba

Проблема

Вы хотите, чтобы пользователи могли просматривать свои домашние каталоги на серверах Samba, позволяя им обращаться к персональным файлам с любого компьютера в сети. Это удобно для сотрудников, работающих с нескольких устройств, и обеспечивает непрерывный доступ к файлам, хранящимся на удалённом сервере.

Решение

Для предоставления пользователям доступа к их домашним каталогам на сервере Samba добавьте следующий фрагмент в файл smb.conf:

[homes]
   comment = User's Home Directories
   valid users = %S
   browseable = No
   read only = No

Этот блок настройки [homes] автоматически создаёт доступ к домашним каталогам для каждого пользователя Samba. Директива valid users = %S обеспечивает доступ только авторизованным пользователям. Параметр browseable = No скрывает каталог от общего просмотра в сети, что добавляет безопасности.

Пользователи Linux могут подключаться к своим домашним каталогам с помощью команды smbclient:

$ smbclient //windbag/homes -U <пользователь> <пароль>

Например, пользователь Andrew с паролем bigsecret может подключиться командой:

$ smbclient //windbag/homes -U andrew bigsecret

После этого можно смонтировать общий каталог с помощью команды smbmount для доступа к файлам через файловую систему (см. раздел 23.18). Для графического интерфейса можно использовать программы Smb4k и LinNeighborhood (см. раздел 23.17), которые упрощают навигацию по сетевым ресурсам Samba.

Пользователи Windows могут получить доступ к своим домашним каталогам через "Сетевое окружение", подключаясь к серверу Samba обычным способом. Windows распознаёт Samba как обычный файловый сервер, так что пользователи могут без проблем открывать свои домашние каталоги.

Комментарий

Поскольку общие каталоги [homes] скрыты от обзора (параметр browseable = No), они не будут отображаться в сетевых программах до подключения. После подключения отображается только домашний каталог пользователя, а каталоги других пользователей остаются скрытыми.

Дополнительно директива valid users = %S в smb.conf разрешает доступ только к домашним каталогам текущего пользователя. Если требуется установить ограничения, можно воспользоваться настройками управления доступом:

valid users = andrew dana helen helix
valid users = +sambagroup
invalid users = daryl larry +badusers

Настройка групп пользователей через valid users и invalid users позволяет гибко управлять доступом, ограничивая доступ для нежелательных пользователей и предоставляя его только определённым группам. Например, параметр valid users = +sambagroup позволяет доступ только членам группы sambagroup, а invalid users может исключить доступ для определённых пользователей или групп, таких как badusers.

Рекомендации по настройке безопасности в Samba

• Для ограничения доступа к конфиденциальным данным создайте список допустимых пользователей с помощью директивы valid users.
• Используйте browseable = No, чтобы скрыть домашние каталоги от сетевого обзора, делая их видимыми только при прямом подключении.
• Рекомендуется настроить шифрование паролей для Samba-сервера, чтобы предотвратить доступ третьих лиц к паролям пользователей.

См. также

Документация по smb.conf