Как обнаружить, включить и отключить SMBv1, SMBv2 и SMBv3 в Windows

• 000Z» data-article-date-source=»ms.date»> 29.10.2020
• На чтение 9 минут

В этой статье

Применимо к: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье описывается, как включить и отключить серверный блок сообщений (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3) на клиентских и серверных компонентах SMB.

Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программным обеспечением, SMBv1 имеет значительные уязвимости безопасности, и мы настоятельно рекомендуем вам не использовать его.

Отключение SMBv2 или SMBv3 для устранения неполадок

Хотя мы рекомендуем оставить SMBv2 и SMBv3 включенными, вы можете счесть полезным временно отключить один из них для устранения неполадок, как описано в разделе Как определять состояние, включать и отключать протоколы SMB на сервере SMB.

В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 деактивирует следующие функции (а также функциональность SMBv2, описанную в предыдущем списке):

• Transparent Failover — клиенты без прерывания подключаются к узлам кластера во время обслуживания или переключения при отказе
• Scale Out — одновременный доступ к общим данным на всех узлах файлового кластера
• Многоканальность — агрегирование пропускной способности сети и отказоустойчивости, если между клиентом и сервером доступно несколько путей
• SMB Direct — добавляет поддержку сети RDMA для очень высокой производительности, с низкой задержкой и низкой загрузкой ЦП
Шифрование
• — обеспечивает сквозное шифрование и защищает от прослушивания в ненадежных сетях
• Directory Leasing — сокращает время отклика приложений в филиалах за счет кэширования
• Оптимизация производительности — оптимизация для небольших операций ввода-вывода произвольного чтения / записи

В Windows 7 и Windows Server 2008 R2 отключение SMBv2 отключает следующие функции:

• Составление запросов — позволяет отправлять несколько запросов SMB 2 как один сетевой запрос
• Больше операций чтения и записи — лучшее использование более быстрых сетей
• Кэширование свойств папок и файлов — клиенты сохраняют локальные копии папок и файлов
• Долговечные ручки — позволяют прозрачному подключению повторно подключаться к серверу в случае временного отключения
• Улучшенная подпись сообщений — HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования
• Улучшенная масштабируемость для совместного использования файлов — количество пользователей, общих ресурсов и открытых файлов на сервере значительно увеличилось
• Поддержка символических ссылок
• Модель аренды клиентской оппортунистической блокировки — ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и увеличивая масштабируемость сервера SMB
• Поддержка большого MTU — для полноценного использования 10-гигабайтного (ГБ) Ethernet
• Повышенная энергоэффективность — клиенты, у которых есть открытые файлы на сервере, могут спать

Протокол SMBv2 был представлен в Windows Vista и Windows Server 2008, а протокол SMBv3 был представлен в Windows 8 и Windows Server 2012. Дополнительные сведения о возможностях SMBv2 и SMBv3 см. В следующих статьях:

Обзор блока сообщений сервера

Что нового в SMB

Как удалить SMB v1

Вот как удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2.

Методы PowerShell

SMB v1 (клиент и сервер)

• Обнаружить:

    Get-WindowsOptionalFeature -Online -FeatureName smb1protocol
    

• Отключить:

    Отключить-WindowsOptionalFeature -Online -FeatureName smb1protocol
    

• Включить:

    Включить-WindowsOptionalFeature -Online -FeatureName smb1protocol
    

Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод диспетчера серверов для отключения SMB

SMB версии 1

Windows 8.1 и Windows 10: метод PowerShell

Протокол SMB v1

• Обнаружить:

    Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    

• Отключить:

    Отключить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    

• Включить:

    Включить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    

Протокол SMB v2 / v3 (отключает только сервер SMB v2 / v3)

• Обнаружить:

    Get-SmbServerConfiguration | Выберите EnableSMB2Protocol. 
    

• Отключить:

    Set-SmbServerConfiguration -EnableSMB2Protocol $ false
    

• Включить:

    Set-SmbServerConfiguration -EnableSMB2Protocol $ true
    

Windows 8.1 и Windows 10: метод установки и удаления программ

Как определить статус, включить и отключить протоколы SMB на сервере SMB

для Windows 8 и Windows Server 2012

Windows 8 и Windows Server 2012 представляют новый командлет Set-SMBServerConfiguration Windows PowerShell. Командлет позволяет включать или отключать протоколы SMBv1, SMBv2 и SMBv3 в серверном компоненте.

Примечание

Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается.Это происходит потому, что эти протоколы используют один и тот же стек.

Нет необходимости перезагружать компьютер после выполнения командлета Set-SMBServerConfiguration .

SMB v1 на сервере SMB

• Обнаружить:

    Get-SmbServerConfiguration | Выберите EnableSMB1Protocol.
    

• Отключить:

    Set-SmbServerConfiguration -EnableSMB1Protocol $ false
    

• Включить:

    Set-SmbServerConfiguration -EnableSMB1Protocol $ true
    

Для получения дополнительной информации см. Хранилище сервера в Microsoft.

SMB v2 / v3 на сервере SMB

• Обнаружить:

    Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.
    

• Отключить:

    Set-SmbServerConfiguration -EnableSMB2Protocol $ false
    

• Включить:

    Set-SmbServerConfiguration -EnableSMB2Protocol $ true
    

для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Чтобы включить или отключить протоколы SMB на SMB-сервере под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.

Методы PowerShell

Примечание

Для этого метода требуется PowerShell 2.0 или более поздняя версия PowerShell.

SMB v1 на сервере SMB

Обнаружить:

  Get-Item HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}
  

Конфигурация по умолчанию = Включено (раздел реестра не создается), поэтому значение SMB1 не возвращается

Отключить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force
  

Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force
  

Примечание После внесения этих изменений необходимо перезагрузить компьютер.Для получения дополнительной информации см. Серверное хранилище в Microsoft.

SMB v2 / v3 на сервере SMB

Обнаружить:

  Get-ItemProperty HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}
  

Отключить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force
  

Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force
  

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.

Редактор реестра

Важно

Внимательно выполните действия, описанные в этом разделе. При неправильном изменении реестра могут возникнуть серьезные проблемы. Прежде чем изменять его, сделайте резервную копию реестра для восстановления в случае возникновения проблем.

Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB1
REG_DWORD: 0 = отключено
REG_DWORD: 1 = Включено
По умолчанию: 1 = Включено (раздел реестра не создается)
  

Чтобы включить или отключить SMBv2 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB2
REG_DWORD: 0 = отключено
REG_DWORD: 1 = Включено
По умолчанию: 1 = Включено (раздел реестра не создается)
  

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.

Как определить статус, включить и отключить протоколы SMB на SMB-клиенте

для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012

Примечание

Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается. Это происходит потому, что эти протоколы используют один и тот же стек.

SMB v1 на клиенте SMB

• Обнаружить

    сбн.exe qc lanmanworkstation
    

• Отключить:

    sc.exe конфигурация lanmanworkstation зависит = bowser / mrxsmb20 / nsi
  sc.exe config mrxsmb10 start = отключено
    

• Включить:

    sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi
  sc.exe config mrxsmb10 start = auto
    

Для получения дополнительной информации см. Серверное хранилище в Microsoft

SMB v2 / v3 на клиенте SMB

• Обнаружить:

    сбн.exe qc lanmanworkstation
    

• Отключить:

    sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / nsi
  sc.exe config mrxsmb20 start = отключено
    

• Включить:

    sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi
  sc.exe config mrxsmb20 start = auto
    

Примечание

• Эти команды необходимо запускать в командной строке с повышенными привилегиями.
• После внесения этих изменений необходимо перезагрузить компьютер.

Отключить сервер SMBv1 с помощью групповой политики

Эта процедура настраивает следующий новый элемент в реестре:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

• Запись в реестре: SMB1
• REG_DWORD: 0 = Отключено

Чтобы настроить это с помощью групповой политики, выполните следующие действия:

1. Откройте консоль управления групповой политикой . Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

2. В дереве консоли в разделе Конфигурация компьютера разверните папку Параметры , а затем разверните папку Параметры Windows .

3. Щелкните правой кнопкой мыши узел реестра , укажите на Новый и выберите элемент реестра .

В диалоговом окне New Registry Properties выберите следующее:

• Действие : Создать
• Улей : HKEY_LOCAL_MACHINE
• Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
• Имя значения : SMB1
• Тип значения : REG_DWORD
• Значение данных : 0

Отключает компоненты сервера SMBv1. Эта групповая политика должна применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.

Примечание

также могут быть настроены для исключения неподдерживаемых операционных систем или выбранных исключений, таких как Windows XP.

Важно

Будьте осторожны при внесении этих изменений на контроллерах домена, на которых устаревшая Windows XP или более ранняя версия Linux и сторонние системы (которые не поддерживают SMBv2 или SMBv3) требуют доступа к SYSVOL или другим общим файловым ресурсам, где SMB v1 отключен.

Отключить клиент SMBv1 с помощью групповой политики

Чтобы отключить клиент SMBv1, необходимо обновить раздел реестра служб, чтобы отключить запуск MRxSMB10 , а затем необходимо удалить зависимость от MRxSMB10 из записи для LanmanWorkstation , чтобы он мог нормально запускаться без необходимости MRxSMB10 до первого запуска.

Это обновит и заменит значения по умолчанию в следующих двух элементах реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10

Запись реестра: Начало REG_DWORD: 4 = Выключено

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation

Запись реестра: DependOnService REG_MULTI_SZ: «Bowser», «MRxSmb20 ″,« NSI »

Примечание

По умолчанию включен MRxSMB10, который теперь удален как зависимость.

Чтобы настроить это с помощью групповой политики, выполните следующие действия:

1. Откройте консоль управления групповой политикой . Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

2. В дереве консоли в разделе Конфигурация компьютера разверните папку Параметры , а затем разверните папку Параметры Windows .

3. Щелкните правой кнопкой мыши узел реестра , укажите на Новый и выберите элемент реестра .

4. В диалоговом окне New Registry Properties выберите следующее:

   • Действие : Обновление
   • Улей : HKEY_LOCAL_MACHINE
   • Путь к ключу : SYSTEM \ CurrentControlSet \ services \ mrxsmb10
   • Имя значения : Начало
   • Тип значения : REG_DWORD
   • Значение данных : 4

5. Затем удалите зависимость от MRxSMB10 , которая была только что отключена.

   В диалоговом окне New Registry Properties выберите следующее:

   • Действие : заменить
   • Улей : HKEY_LOCAL_MACHINE
   • Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation
   • Имя значения : DependOnService
   • Тип значения : REG_MULTI_SZ
   • Значение данных :

   Примечание

   Эти три строки не будут иметь патронов (см. Следующий снимок экрана).

   Значение по умолчанию включает MRxSMB10 во многих версиях Windows, поэтому, заменяя их этой многозначной строкой, он фактически удаляет MRxSMB10 как зависимость для LanmanServer и переходит от четырех значений по умолчанию к этим три значения выше.

   Примечание

   При использовании консоли управления групповой политикой не нужно использовать кавычки или запятые. Просто введите каждую запись в отдельной строке.

6. Перезапустите целевые системы, чтобы завершить отключение SMB v1.

Аудит использования SMBv1

Чтобы определить, какие клиенты пытаются подключиться к SMB-серверу с SMBv1, вы можете включить аудит в Windows Server 2016, Windows 10 и Windows Server 2019. Вы также можете проводить аудит в Windows 7 и Windows Server 2008 R2, если они установили майский Ежемесячное обновление 2018 г. и в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2, если они установили ежемесячное обновление за июль 2017 г.

• Включить:

    Set-SmbServerConfiguration -AuditSmb1Access $ true
    

• Отключить:

    Set-SmbServerConfiguration -AuditSmb1Access $ false
    

• Обнаружить:

    Get-SmbServerConfiguration | Выберите AuditSmb1Access
    

Когда включен аудит SMBv1, в журнале событий «Microsoft-Windows-SMBServer \ Audit» появляется событие 3000, идентифицирующее каждого клиента, который пытается подключиться к SMBv1.

Сводка

Если все параметры находятся в одном объекте групповой политики (GPO), Управление групповой политикой отображает следующие параметры.

Тестирование и валидация

После их настройки разрешите репликацию и обновление политики. При необходимости для тестирования запустите gpupdate / force в командной строке, а затем просмотрите целевые компьютеры, чтобы убедиться, что параметры реестра применены правильно. Убедитесь, что SMB v2 и SMB v3 работают для всех других систем в среде.

Примечание

Не забудьте перезагрузить целевые системы.

Server SMB 1.xxx — служба Windows 7

SMB 1.xxx — служба Windows 7

Обеспечивает подключение из клиентов Windows XP и более ранних версий.

Эта служба также существует в Windows 10, 8, Vista и XP.

Тип запуска

Свойства по умолчанию

Отображаемое имя:	Сервер SMB 1. xxx Драйвер
Имя службы:	srv
Тип:	filesys
Путь:	% WinDir% \ System32 \ DRIVERS \ srv.sys
Группа:	Сеть

Поведение по умолчанию

Служба драйвера SMB 1.xxx сервера — это драйвер файловой системы. Если драйвер SMB 1.xxx сервера не загружается или не инициализируется, ошибка записывается в журнал событий.Запуск Windows 7 должен продолжиться, но отображается окно сообщения о том, что служба srv не запустилась.

Зависимости

Сервер SMB 1.xxx Драйвер не запускается, если служба сервера SMB 2.xxx остановлена ​​или отключена.

Если драйвер SMB 1.xxx сервера остановлен, сервер не запускается и не инициализируется.

Восстановить тип запуска по умолчанию для сервера SMB 1.xxx Драйвер

Автоматическое восстановление

1. Выберите выпуск Windows 7 и пакет обновления, а затем нажмите кнопку Загрузить ниже.

2. Сохраните файл RestoreServerSMB1xxxDriverWindows7.bat в любую папку на жестком диске.

3. Щелкните загруженный командный файл правой кнопкой мыши и выберите Запуск от имени администратора .

4. Перезагрузите компьютер, чтобы сохранить изменения.

Примечание. Убедитесь, что файл srv.sys существует в папке % WinDir% \ System32 \ DRIVERS . Если этот файл отсутствует, вы можете попробовать восстановить его с установочного носителя Windows 7.

чел.conf

Имя

smb.conf — файл конфигурации для пакета Samba

ОБЗОР

Файл smb.conf — это файл конфигурации для пакета Samba. smb.conf содержит информацию о конфигурации времени выполнения для программ Samba. В полное описание формата файла и возможных параметров, содержащихся в нем, находится здесь для справки.

ФОРМАТ ФАЙЛА

Файл состоит из разделов и параметров. Раздел начинается с названия раздела в квадратных скобках. и продолжается до начала следующего раздела.Разделы содержат параметры формы:

   имя   =   значение  
 

Файл является построчным, то есть каждая строка с символом новой строки представляет собой комментарий, имя раздела или параметр.

Имена разделов и параметров не чувствительны к регистру.

Только первый знак равенства в параметре имеет значение. Пробел до или после первого знака равенства: отброшен. Начальные, конечные и внутренние пробелы в именах разделов и параметров не имеют значения.Ведущий и завершающие пробелы в значении параметра отбрасываются. Внутренний пробел в значении параметра: сохранено дословно.

Любая строка, начинающаяся с точки с запятой («;») или решетки («#»). символ игнорируется, как и строки, содержащие только пробелы.

Любая строка, оканчивающаяся на « \ », продолжается на следующей строке обычным способом UNIX.

Все значения, следующие за знаком равенства в параметрах, являются либо строкой (кавычки не нужны), либо логическими, который может быть дан как да / нет, 1/0 или истина / ложь.Регистр не имеет значения в логических значениях, но сохраняется в строковых значениях. Некоторые элементы, например создание масок, являются числовыми.

ОПИСАНИЕ РАЗДЕЛОВ

Каждый раздел в файле конфигурации (кроме раздела [global]) описывает общий ресурс (известный как доля»). Имя раздела — это имя общего ресурса и параметры в раздел определяет атрибуты акций.

Есть три специальных раздела: [global], [homes] и [printers], которые описаны в спец. Разделы .Следующие примечания относятся к обычным описаниям разделов.

Общий ресурс состоит из каталога, к которому предоставляется доступ, и описания прав доступа. которые предоставляются пользователю услуги. Также можно указать некоторые варианты уборки.

Разделы являются либо службами совместного использования файлов (используются клиентом как расширение своих собственных файловых систем) или службы печати (используемые клиентом для доступа к службам печати на хосте, на котором запущен сервер).

Разделы могут быть обозначены гостевыми службами, и в этом случае пароль для получить к ним доступ.Указанная гостевая учетная запись UNIX используется для определения прав доступа в этом кейс.

Для доступа к разделам, отличным от гостевых служб, потребуется пароль. Клиент предоставляет имя пользователя. Поскольку старые клиенты предоставляют только пароли, а не имена пользователей, вы можете указать список имен пользователей для проверьте пароль, используя параметр user = в определении общего ресурса. Для современных клиентов таких как Windows 95/98 / ME / NT / 2000, в этом нет необходимости.

Права доступа, предоставленные сервером, маскируются правами доступа, предоставленными указанному или гостевому Пользователь UNIX хост-системой.Сервер не предоставляет больше доступа, чем предоставляет хост-система.

В следующем примере раздела определяется общее файловое пространство. У пользователя есть доступ на запись к пути / home / bar . Доступ к общему ресурсу осуществляется через имя общего ресурса foo :

  [foo]  
путь = / домой / бар
только чтение = нет
 

В следующем примере раздела определяется общая папка для печати. Общий ресурс доступен только для чтения, но доступен для печати. То есть, доступ на запись разрешен только через вызовы для открытия, записи и закрытия файла спула. гость Параметр ok означает, что доступ будет разрешен как гостевой пользователь по умолчанию (указанный в другом месте):

  [принтер]  
путь = / usr / spool / public
только чтение = да
printable = да
гость ок = да
 

СПЕЦИАЛЬНЫЕ РАЗДЕЛЫ

Раздел [global]

Параметры в этом разделе применяются ко всему серверу или являются значениями по умолчанию для разделов, которые не конкретно определить определенные элементы. См. Примечания в разделе ПАРАМЕТРЫ для получения дополнительной информации.

Участок [дома]

Если в файл конфигурации включен раздел с именем [homes], службы, подключающие клиентов в их домашние каталоги могут быть созданы сервером на лету.

При запросе на подключение сканируются существующие разделы. Если совпадение найдено, оно используемый. Если совпадений не найдено, запрошенное имя раздела рассматривается как имя пользователя и ищется в локальном файл паролей. Если имя существует и был указан правильный пароль, общий ресурс создается путем клонирования [дома] раздел.

Затем во вновь созданный общий ресурс вносятся некоторые изменения:

• Имя общего ресурса изменено с домов на найденное имя пользователя.

• Если путь не был указан, устанавливается путь к домашнему каталогу пользователя.

Если вы решите использовать строку path = в своем разделе [homes], это может быть полезно для использования макроса% S. Например:

   путь = / data / pchome /% S  
 

полезно, если у вас есть домашние каталоги для ваших компьютеров, отличные от UNIX.

Это быстрый и простой способ предоставить большому количеству клиентов доступ к их домашним каталогам с минимальными затратами. суеты.

Аналогичный процесс происходит, если имя запрошенного раздела — «дома», за исключением того, что общий ресурс имя не меняется на имя запрашивающего пользователя. Этот метод использования раздела [дома] хорошо работает, если разные пользователи используют один клиентский ПК.

В разделе [homes] можно указать все параметры, которые может указывать обычный раздел службы, хотя некоторые из них имеют больше смысла. чем другие.Ниже представлен типичный и подходящий раздел [дома]:

   [дома]  
только чтение = нет
 

Важным моментом является то, что если гостевой доступ указан в разделе [homes], все домашние каталоги будут виден всем клиентам без пароля . В очень маловероятном случае, если это действительно желательно также указать доступ только для чтения .

Флаг , доступный для просмотра, флаг для автоматических домашних каталогов будет унаследован от глобального просматриваемого флаг, а не флаг просмотра [домов]. Это полезно, так как означает установку browseable = no в Раздел [homes] скроет общий ресурс [homes], но сделает видимыми все авто домашние каталоги.

Раздел [принтеры]

Этот раздел работает как [дома], но для принтеров.

Если в файле конфигурации есть раздел [принтеры], пользователи могут подключаться к любому принтеру. указанный в файле printcap локального хоста.

Когда делается запрос на подключение, сканируются существующие разделы.Если совпадение найдено, оно используется. Если совпадений не найдено, но раздел [дома] существует, он используется, как описано выше. В противном случае запрошенный имя раздела рассматривается как имя принтера, и соответствующий файл printcap сканируется, чтобы увидеть, запрошен ли имя раздела — допустимое имя общего принтера. Если совпадение найдено, новый общий принтер создается путем клонирования [принтеры] раздел.

Затем во вновь созданный общий ресурс вносятся несколько изменений:

• Имя общего ресурса устанавливается на имя обнаруженного принтера

• Если имя принтера не было указано, имя принтера устанавливается на имя обнаруженного принтера

• Если общий ресурс не разрешает гостевой доступ и нет имени пользователя был дан, имя пользователя установлено к имени найденного принтера.

Служба [принтеры] ДОЛЖНА быть доступной для печати — если вы укажете иное, сервер откажется для загрузки файла конфигурации.

Обычно указывается путь к каталогу спула с возможностью записи во всем мире с установленным липким битом Это. Типичная запись [принтеры] выглядит так:

   [принтеры]  
путь = / usr / spool / public
гость ок = да
printable = да
 

Все псевдонимы, указанные для принтера в файле printcap, являются допустимыми именами принтеров с точки зрения сервера.Если ваша подсистема печати не работает, вам придется настроить псевдопечать. Это файл состоящий из одной или нескольких таких строк:

псевдоним | псевдоним | псевдоним | псевдоним ...
 

Каждый псевдоним должен быть допустимым именем принтера для вашей подсистемы печати. В разделе [global], укажите новый файл как ваш printcap. Сервер распознает только имена из вашего псевдо-printcap, который, конечно, может содержать любые псевдонимы, которые вам нравятся. Тот же метод можно использовать просто для ограничения доступа к подмножеству ваших локальных принтеров.

Кстати, псевдоним определяется как любой компонент первой записи printcap. Записи разделяются новой строкой, компоненты (если их несколько) разделяются символами вертикальной черты ( | ).

Примечание

В системах SYSV, которые используют lpstat для определения принтеров, определенных в системе, вы можете использовать printcap name = lpstat для автоматического получения списка принтеров. Увидеть printcap name option для более подробной информации.

ПОЛЬЗОВАТЕЛЬСКИЕ ДАННЫЕ

Начиная с Samba версии 3.0.23, пользователи без полномочий root могут добавлять, изменять и удалять добавлены их собственные определения долей. Эта возможность называется , и . управляется набором параметров в разделе [global] файла smb.conf. Соответствующие параметры:

разрешить гостевому доступу

Определяет, могут ли общие ресурсы разрешать гостевой доступ.

usershare max share

Максимально разрешенное количество определяемых пользователем общих ресурсов.

только владелец доли пользователя

Если установлено, то могут быть доступны только каталоги, принадлежащие пользователю общего доступа.

userhare path

Указывает на каталог, содержащий определенные пользователем определения общих ресурсов. Разрешения файловой системы для этого каталога определяют, кто может создавать определяемые пользователем общие ресурсы.

список разрешенных префиксов пользователя

Разделенный запятыми список абсолютных путей, ограничивающих каталоги можно поделиться. Разрешены только каталоги ниже путей в этом списке.

список запрещенных префиксов пользователя

Разделенный запятыми список абсолютных путей, ограничивающих каталоги можно поделиться. Каталоги ниже путевых имен в этом списке запрещены.

общий ресурс шаблона общего доступа

Называет уже существующий общий ресурс, используемый в качестве шаблона для создания новых общих ресурсов пользователя. Все остальные параметры общего ресурса, не указанные в пользовательском определении общего ресурса копируются из этой именованной общей папки.

Разрешить членам группы UNIX foo создавать определяемые пользователем share, создайте каталог, содержащий следующие определения общих ресурсов:

Стань root:

mkdir / usr / local / samba / lib / usershares
chgrp foo / usr / local / samba / lib / usershares
chmod 1770 / usr / местные / самба / библиотека / пользователи
 

Затем добавляем параметры

путь пользователя = / usr / local / samba / lib / usershares
usershare max share = 10 # (или желаемое количество акций)
 

к глобальному раздел вашего smb.conf . Затем члены группы foo могут управлять определенными пользователем общими ресурсами. используя следующие команды.

net usershare добавить путь к общему имени [комментарий] [acl] [guest_ok = [y | n]]

Для создания или изменения (перезаписи) определяемого пользователем общего ресурса.

net usershare delete sharename

Для удаления общего ресурса, определенного пользователем.

net usershare list wildcard-sharename

Для вывода списка определяемых пользователем общих ресурсов.

net usershare info wildcard-sharename

Для печати информации о пользовательских общих ресурсах.

ПАРАМЕТРЫ

Параметры определяют определенные атрибуты разделов.

Некоторые параметры относятся к разделу [global] (например, security ). Некоторые параметры можно использовать во всех разделах (например, создать маску ). Все остальные допустимы только в нормальном разделы. Для целей нижеследующего описания разделы [дома] и [принтеры] будут считается нормальным. Буква G в скобках указывает на то, что параметр специфичен для раздел [global].Буква S указывает, что параметр может быть указан в специальный раздел службы. Все параметры S также можно указать в разделе [global] — в этом случае они будут определять поведение по умолчанию для всех служб.

Параметры расположены здесь в алфавитном порядке — возможно, это не лучший выбор, но, по крайней мере, вы можете найдите их! Там, где есть синонимы, описывается предпочтительный синоним, другие относятся к предпочтительному синоним.

ПЕРЕМЕННЫЕ ЗАМЕНЫ

Многие строки, которые устанавливаются в файле конфигурации, могут принимать замены.Например вариант «Path = / tmp /% u» интерпретируется как «path = / tmp / john», если пользователь подключился к имя пользователя john.

Эти замены в основном указаны в описаниях ниже, но есть и некоторые общие замены. которые применяются всякий раз, когда они могут быть актуальны. Это:

% U

имя пользователя сеанса (имя пользователя, которое хотел клиент, а не обязательно такой же, как тот, что у них достался).

% G

имя основной группы% U.

% h

имя хоста в Интернете, на котором работает Samba.

% m

NetBIOS-имя клиентской машины (очень полезно).

Этот параметр недоступен, когда Samba прослушивает порт 445, поскольку клиенты больше не отправьте эту информацию. Если вы используете этот макрос в инструкции include в домене, в котором контроллер домена Samba обязательно установите в разделе [global] smb ports = 139 . Это приведет к тому, что Samba не будет прослушивать порт 445 и позволит включить функциональность для работы, как это было с Samba 2.Икс.

% L

NetBIOS-имя сервера. Это позволяет вам изменять вашу конфигурацию в зависимости от того, что клиент звонит вам. Ваш сервер может иметь «двойную личность».

% M

Интернет-имя клиентской машины.

% R

выбранный уровень протокола после согласования протокола. Это может быть один из CORE, COREPLUS, LANMAN1, LANMAN2, NT1, SMB2_02, SMB2_10, SMB2_22, SMB2_24, SMB3_00, SMB3_02, SMB3_10, SMB3_11 или SMB2_FF.

% d

идентификатор процесса текущего сервера процесс.

% а

Архитектура пульта машина. В настоящее время распознает Samba ( Samba ), файловая система Linux CIFS ( CIFSFS ), OS / 2, ( OS2 ), Mac OS X ( OSX ), Windows для рабочих групп ( WfWg ), Windows 9x / ME ( Win95 ), Windows NT ( WinNT ), Windows 2000 ( Win2K ), Windows XP ( WinXP ), 64-разрядная версия Windows XP ( WinXP64 ), Windows 2003, включая 2003R2 ( Win2K3 ) и Windows Vista ( Vista ).Все остальное будет называться НЕИЗВЕСТНО .

% I

IP-адрес клиентского компьютера.

До 4.0.0 он мог содержать сопоставленные IPv4-адреса IPv4, теперь он содержит только адреса IPv4 или IPv6.

% J

IP-адрес клиентской машины, двоеточия / точки заменены подчеркиванием.

% i

локальный IP-адрес, к которому подключился клиент.

До 4.0.0 он может содержать сопоставленные IPv4-адреса IPv6, теперь он содержит только адреса IPv4 или IPv6.

% j

локальный IP-адрес, к которому подключился клиент, двоеточия / точки заменены подчеркиванием.

% T

текущая дата и время.

% t

текущая дата и время в минимальном формате без двоеточий (ГГГГГммдд_ЧЧММСС).

% D

имя домена или рабочей группы текущего пользователя.

% w

разделитель winbind.

% $ ( envvar )

значение переменной среды envar .

Следующие замены применимы только к некоторым параметрам конфигурации (только к тем, которые используется, когда соединение установлено):

% S

название текущей услуги, если таковая имеется.

% P

корневой каталог текущей службы, если таковой имеется.

% u

имя пользователя текущей службы, если таковая имеется.

% g

имя основной группы% u.

% H

домашний каталог пользователя, заданного% u.

% №

имя вашего сервера домашнего каталога NIS. Это получается из записи вашей автоматической карты NIS. Если вы не скомпилировали Samba с опцией —with-automount , это значение будет таким же, как% L.

% п

путь к домашнему каталогу службы, полученный от вашего NIS auto.запись на карте. НИС Запись auto.map делится на % N:% p .

Есть несколько довольно креативных вещей, которые можно сделать с помощью этих замен и других smb.conf опции.

ИЗМЕНЕНИЕ ИМЕНИ

Samba поддерживает изменение имени , чтобы клиенты DOS и Windows могли использовать файлы, которые не соответствуют формату 8.3. Его также можно настроить для настройки регистра имен файлов в формате 8. 3.

Есть несколько параметров, которые контролируют способ выполнения искажения, и они сгруппированы здесь, а не чем указано отдельно.Для значений по умолчанию посмотрите вывод программы testparm.

Эти параметры можно настроить отдельно для каждой услуги.

Возможные варианты:

с учетом регистра = да / нет / авто

определяет, чувствительны ли имена файлов к регистру. Если это не так, Samba должна выполнить поиск имени файла и сопоставить его прошли имена. Значение по умолчанию auto позволяет клиентам, которые поддерживают имена файлов с учетом регистра (Linux CIFSVFS и smbclient 3.0.5 и выше в настоящее время), чтобы сообщить серверу Samba для каждого пакета, что они хотят доступ к файловой системе с учетом регистра (для поддержки чувствительной к регистру семантики UNIX).Нет Windows или Система DOS поддерживает чувствительность к регистру имен файлов, поэтому установка для этого параметра значения auto аналогична установке значения no для них. По умолчанию авто .

регистр по умолчанию = верхний / нижний

определяет регистр по умолчанию для новых имен файлов (т.е. файлов, которые в настоящее время не существуют в файловой системе). По умолчанию нижний . ВАЖНОЕ ПРИМЕЧАНИЕ: В рамках оптимизации каталогов, содержащих при большом количестве файлов применяется следующий особый случай.Если варианты с учетом регистра = да, сохранить регистр = нет и short preserve case = No установлены, тогда case все будут изменены имена файлов входящих клиентов, а не только новые имена файлов. См. Дополнительные примечания ниже.

сохранить корпус = да / нет

контролирует, создаются ли новые файлы (т.е. файлы, которые в настоящее время не существуют в файловой системе) с регистром что клиент проходит, или если они вынуждены использовать случай по умолчанию . По умолчанию да .

короткий футляр для сохранения = да / нет

контролирует, соответствуют ли новые файлы (т. е. файлы, которые в настоящее время не существуют в файловой системе) синтаксису 8.3, то есть все в верхнем регистре и подходящей длины, создаются в верхнем регистре, или если они вынуждены быть по умолчанию case. Эта опция может использоваться с preserve case = yes , чтобы разрешить длинные имена файлов сохраняют регистр, а короткие имена — строчные. По умолчанию да .

По умолчанию Samba 3.0 имеет ту же семантику, что и сервер Windows NT, в том, что он нечувствителен к регистру но дело сохранения. Как особый случай для каталогов с большим количеством файлов, если параметры устанавливаются следующим образом: «с учетом регистра = да», «сохранение регистра = нет», «краткое сохранение регистра = нет» тогда будет применена опция «default case» и будут изменены все имена файлов, отправленные от клиента. при доступе к этой папке.

КОНФИГУРАЦИЯ НА ОСНОВЕ РЕГИСТРА

Начиная с Samba версии 3.2.0, возможность сохранить конфигурацию Samba в реестре. Конфигурация хранится в ключе реестра. HKLM \ Software \ Samba \ smbconf . Существует два уровня конфигурации реестра:

1. Используются определения общих ресурсов, хранящиеся в реестре. Это запускается установкой глобального параметр акций реестра на «да» в smb.conf .

   Общие ресурсы реестра загружаются не при запуске, а по запросу во время выполнения от smbd . Акции, определенные в чел.conf взять приоритет перед одноименными акциями, определенными в реестр.

2. Глобальный smb.conf используются параметры, хранящиеся в реестре. Это можно активировать двумя разными способами:

   Во-первых, запускается конфигурация только реестра установив config backend = реестр в разделе [global] файла smb.conf . Это сбрасывает все, что было прочитано из файлов конфигурации до этого момента и читает содержимое глобальной конфигурации раздел из реестра. Это рекомендуемый метод использования реестра на основе конфигурация.

   Во-вторых, можно активировать смешанную конфигурацию специальным новым смыслом параметра включить = реестр в разделе [global] файла smb.conf . Это читает глобальные параметры из реестра с тем же приоритеты включения текстового файла. Это может быть особенно полезно в случаях, когда начальная конфигурация необходима для доступа к реестру.

   Автоматическая активация опций глобального реестра активирует общие ресурсы реестра.Так что только в реестре акции загружаются только по запросу.

Примечание. Чтобы сделать конфигурации на основе реестра надежными по крайней мере, до некоторой степени использование из заблокировать каталог и конфигурация серверной части внутри конфигурации реестра отключено: Особенно за счет изменения заблокировать каталог внутри реестра конфигурации, можно было бы создать неработающую установку, в которой демоны не видят загруженную конфигурацию, когда она активна.

Доступ к конфигурации реестра можно получить с помощью такие инструменты, как regedit или net (rpc) реестр в ключе HKLM \ Software \ Samba \ smbconf . Более удобно, подкоманда conf команды net (8) утилита предлагает специальный интерфейс для чтения и записи конфигурация на основе реестра локально, т.е. напрямую доступ к файлу базы данных, обход сервер.

СООБРАЖЕНИЯ КАРТА ИДЕНТИЧНОСТИ

В протоколе SMB пользователи, группы и машины представлены их идентификаторами безопасности (SID).В системе POSIX процессы Samba должны выполняться под соответствующими идентификаторами пользователей POSIX и с дополнительными группами POSIX, чтобы разрешить доступ к файлам, принадлежащим этим пользователям и группам. Процесс сопоставления идентификаторов безопасности пользователям и группам POSIX называется IDENTITY MAPPING или, короче, ID MAPPING .

Samba поддерживает несколько способов сопоставления идентификаторов безопасности пользователям и группам POSIX. Конфигурация управляется параметр idmap config DOMAIN: OPTION, который позволяет указать личность параметры отображения (idmap) для каждого домена отдельно.

Модули сопоставления удостоверений реализуют различные стратегии сопоставления идентификаторов безопасности пользователя и группы POSIX. идентичности. Они применимы к различным вариантам использования и сценариям. Рекомендуется прочитать документацию отдельных модулей сопоставления идентичности перед выбором конкретного сценария для использования. Каждая личность Модуль управления документирован на отдельной странице руководства. Стандартные бэкенды idmap: tdb (idmap_tdb (8)), tdb2 (idmap_tdb2 (8)), ldap (idmap_ldap (8)), избавиться (idmap_rid (8)), хеш (idmap_hash (8)), autorid (idmap_autorid (8)), объявление (idmap_ad (8)), nss (idmap_nss (8)) и rfc2307 (idmap_rfc2307 (8)).

В целом, конфигурацию сопоставления идентификаторов следует выбирать тщательно. Изменения в уже развернутом сопоставлении идентификаторов конфигурация может создать риск потери доступа к данным или раскрытия данных не тем сторонам.

В этом примере показано, как настроить два домена с idmap_rid (8), основной домен и доверенный домен, оставив схему сопоставления идентификаторов по умолчанию в tdb.

[Глобальный]
безопасность = домен
рабочая группа = ГЛАВНАЯ

Конфигурация idmap *: backend = tdb
Конфигурация idmap *: диапазон = 1000000-1999999

idmap config MAIN: backend = rid
Конфигурация idmap MAIN: range = 5000000-5999999

Конфигурация idmap ДОВЕРЕНА: backend = rid
Конфигурация idmap ДОВЕРЕНА: диапазон = 6000000-6999999

ПОЯСНЕНИЯ К КАЖДОМУ ПАРАМЕТРУ

сценарий прерывания выключения (G)

Это полный путь к сценарию, вызываемому smbd (8), который должен остановить процедуру выключения, инициированную сценарием выключения.

Если у подключенного пользователя есть SeRemoteShutdownPrivilege , правильно, эта команда будет запущена от имени пользователя root.

По умолчанию: сценарий отмены завершения работы = ""

Пример: сценарий прерывания завершения работы = / sbin / shutdown -c

перечисление общих ресурсов на основе доступа (S)

Если этот параметр да для service, то общий ресурс, размещенный на сервере, будет виден только для пользователей, у которых есть доступ для чтения или записи к общему ресурсу во время общего доступа перечисление (например net view \ sambaserver).ACL для общих ресурсов которые разрешают или запрещают доступ к общему ресурсу, можно изменить с помощью например, команда sharesec или с помощью соответствующих инструментов Windows. Это параллели с перечислением на основе доступа, главное отличие в том, что оцениваются только разрешения общего доступа, а безопасность дескрипторы файлов, содержащихся в общей папке, не используются в права доступа к вычислению перечисления.

По умолчанию: перечисление общих ресурсов на основе доступа = нет

acl разрешить выполнение всегда (S)

Этот логический параметр управляет поведением smbd (8) при получении запроса протокола «открыть для выполнения». из клиента Windows.В Samba 3.6 и старше выполнение прямо в ACL не проверялось, поэтому клиент мог выполнить файл, даже если у него не было прав на выполнение файла. В Samba 4.0, это было исправлено, поэтому по умолчанию, то есть когда этот параметр установлен на «Ложь», «открыто для выполнения» теперь запрещается, когда нет прав на выполнение.

Если для этого параметра установлено значение «True», Samba не проверяет разрешения на выполнение на «открыт для выполнения», таким образом восстанавливая поведение Samba 3.6. Это может быть полезно для более плавного обновления старых версий Samba до 4.0 и новее. Этот параметр предназначен не для постоянного использования, а для временного облегчения: Рекомендуется исправить разрешения в ACL и сбросить этот параметр на дефолт после определенного переходного периода.

По умолчанию: acl разрешить выполнение всегда = нет

разрешения проверки acl (S)

Обратите внимание, что этот параметр теперь устарел в Samba 3.6.2 и будет удален в будущей версии Samba.

Этот логический параметр управляет действиями smbd (8) при получении запроса протокола «открыть для удаления». из клиента Windows. Если у клиента Windows нет разрешений на удаление файла, он ожидайте, что это будет отказано в открытое время. Системы POSIX обычно обнаруживают ограничения на удаление только фактически пытается удалить файл или каталог. Поскольку клиенты Windows могут (и делают) «отступить» запрос на удаление, сняв бит «удалять при закрытии» Samba не может удалить файл сразу по запросу «открыть для удаления», поскольку мы не можем восстановить такой удаленный файл.Если для этого параметра установлено значение истина (по умолчанию), тогда smbd проверяет разрешения файловой системы непосредственно на «открыть для удаления» и отклоняет запрос без фактического удаления файла, если кажется, что разрешения файловой системы запрещают это. Это не идеально, поскольку возможно, что пользователь удалил файл без возможности Samba проверьте разрешения правильно, но он достаточно близок к семантике Windows для большей части правильности поведение. В этом случае Samba правильно проверит семантику POSIX ACL.

Если для этого параметра установлено значение «false», Samba не проверяет разрешения на «открытие для удаления» и позволяет открыться. Если у пользователя нет разрешения на удаление файла, это будет только обнаружено в ближайшее время, что слишком поздно для пользовательских инструментов Windows, чтобы отобразить сообщение об ошибке пользователю. Симптомом этого являются файлы, которые, казалось бы, были удалены «волшебным образом» и снова появляются. при обновлении проводника Windows. Это чрезвычайно продвинутый вариант протокола, который не должен нужно изменить.В окончательной форме этот параметр был введен в 3.0.21, более ранней версии. с немного другой семантикой был представлен в 3.0.20. Эта более старая версия здесь не описана.

По умолчанию: разрешения проверки acl = да

В файловой системе POSIX только владелец файла или каталога и суперпользователь могут изменять разрешения. и списки управления доступом к файлу. Если этот параметр установлен, Samba отменяет это ограничение, а также разрешает владелец основной группы файла или каталога для изменения разрешений и списков контроля доступа в этом файле.

На сервере Windows группы могут быть владельцем файла или каталога, что позволяет любому пользователю эту группу, чтобы изменить права доступа к ней. Это позволяет делегировать контроль безопасности в точке файловой системы для владельца группы каталога и всего, что ниже этого, также принадлежит этой группой. Это означает, что есть несколько человек с разрешениями на изменение списков ACL для файла. или каталог, облегчая управление.

Этот параметр позволяет Samba также разрешать делегирование управления точкой в ​​экспортируемом иерархия каталогов во многом такая же, как в Windows.Это позволяет всем членам группы UNIX контролировать права доступа к файлу или каталогу, владельцем которого является группа.

Этот параметр лучше всего использовать с опцией наследования владельца, а также на общей папке, содержащей каталоги с установленным битом setgid UNIX на них, что приводит к тому, что новые файлы и каталоги, созданные в нем, наследуют группу владение из содержащего каталога.

Этот параметр устарел в Samba 3.0.23, но повторно активирован в Самба 3.0.31 и выше, поскольку теперь он контролирует изменения разрешений, только если пользователь находится в основной группе-владельце. Теперь он больше не эквивалентен dos filemode option.

По умолчанию: acl group control = no

Этот логический параметр определяет, отображает ли smbd (8) запись POSIX ACE «rwx» (чтение / запись / выполнение), максимальное разрешенный набор разрешений POSIX в Windows ACL «ПОЛНЫЙ КОНТРОЛЬ».Если для этого параметра установлено значение true, любой POSIX Запись ACE «rwx» будет возвращена в Windows ACL как «FULL CONTROL», если для этого параметра установлено значение false, любое Запись POSIX ACE «rwx» будет возвращена в виде конкретных битов ACL Windows, представляющих чтение, запись и выполнить.

По умолчанию: acl map full control = да

Это полный путь к сценарию, который будет запущен smbd (8) AS ROOT при запросе новой группы.Это расширит любые % g на переданное имя группы. Этот скрипт полезен только для установки с использованием средств администрирования домена Windows NT. Скрипт позволяет создать группу с произвольное имя для обхода ограничений имени группы unix. В этом случае сценарий должен напечатать числовой gid созданной группы на stdout.

По умолчанию: добавить сценарий группы =

Пример: добавить сценарий группы = / usr / sbin / groupadd% g

Это полный путь к сценарию, который будет запускать smbd (8), когда машина добавлен в домен Samba, а учетная запись Unix, соответствующая имени машины с добавлением символа «$», не уже существует.

Эта опция очень похожа на сценарий добавления пользователя и также использует% u подмена имени учетной записи. Не используйте% m подмена.

По умолчанию: сценарий добавления машины =

Пример: сценарий добавления машины = / usr / sbin / adduser -n -g machines -c Machine -d / var / lib / nobody -s / bin / false% u

Самба 3.0.23 представлена ​​поддержка добавления портов принтера. удаленно с помощью мастера добавления стандартного порта TCP / IP Windows. Эта опция определяет внешнюю программу, которая будет выполняться, когда smbd получает запрос на добавление нового порта в систему. Сценарию передаются два параметра:

DeviceURI имеет формат socket: // [: ] или lpd: // <имя хоста> / <имя очереди>.

По умолчанию: команда addport =

Пример: команда addport = / etc / samba / scripts / addport.ш

С введением печати на основе MS-RPC поддержка клиентов Windows NT / 2000 в Samba 2.2, MS Add Значок мастера принтера (APW) теперь также доступен в В папке «Принтеры …» отображается список общих ресурсов. APW позволяет удаленно добавлять принтеры в Samba или Windows Сервер печати NT / 2000.

Для хоста Samba это означает, что принтер должен быть физически добавлен к базовой системе печати.Команда addprinter определяет сценарий для запуска, который выполнит необходимые операции по добавлению принтера в систему печати и добавить соответствующее определение службы в файл smb.conf , чтобы его можно было используется smbd (8).

Команда addprinter автоматически вызывается со следующим параметром (в order):

Все параметры заполняются из отправленной структуры PRINTER_INFO_2 клиентом Windows NT / 2000, за одним исключением.»Windows 9x» «расположение драйвера» включен для обратной совместимости только. Остальные поля в структуре генерируются из ответов на вопросы APW.

После выполнения команды addprinter был выполнен, smbd будет повторно анализировать smb.conf , чтобы определить, является ли общий ресурс, определенный APW существует. Если общее имя по-прежнему недействительно, тогда smbd вернет клиенту ошибку ACCESS_DENIED.

Программа addprinter может выводить одну строку текста, который Samba установит в качестве порта, к которому подключен новый принтер. Если эта строка не выводится, Samba не будет перезагружать свои общие принтеры.

По умолчанию: команда addprinter =

Пример: команда addprinter = / usr / bin / addprinter

Самба 2.2.0 представила возможность динамического добавления и удаления общих ресурсов через Windows NT 4.0 Server. Управляющий делами. Команда add share используется для определения внешней программы или сценарий, который добавит новое определение службы в smb.conf .

Чтобы успешно выполнить добавить команду общего доступа , smbd требует, чтобы администратор подключается с использованием учетной записи root (т.е. uid == 0) или имеет Привилегия SeDiskOperatorPrivilege .Сценарии, определенные в команде add share параметр выполняются как root.

При выполнении smbd автоматически вызовет добавить команду общего доступа с пятью параметрами.

• configFile — расположение глобального файла smb.conf .

• shareName — название новой акции.

• pathName — путь к ** существующему ** каталог на диске.

• комментарий — строка комментария для связи с новым Поделиться.

• макс. соединения Максимальное количество одновременных подключений к этому Поделиться.

Этот параметр используется только для добавления общих файловых ресурсов. Чтобы добавить общие принтеры, см. Команду addprinter.

По умолчанию: добавить команду совместного использования =

Пример: добавить команду общего доступа = / usr / local / bin / Addhare

Это полный путь к сценарию, который будет запущен AS ROOT с помощью smbd (8) при особых обстоятельствах, описанных ниже.

Обычно сервер Samba требует, чтобы пользователи UNIX были созданы для всех пользователей, осуществляющих доступ файлы на этом сервере. Для сайтов, использующих базы данных учетных записей Windows NT в качестве основных база данных пользователей, создающая этих пользователей и поддерживающая синхронизацию списка пользователей с Windows NT PDC — обременительная задача. Эта опция позволяет smbd создавать необходимых пользователей UNIX. ПО ТРЕБОВАНИЮ , когда пользователь обращается к серверу Samba.

Когда пользователь Windows пытается получить доступ к серверу Samba, при входе в систему (настройка сеанса в протокол SMB) время, smbd (8) связывается с сервером паролей и пытается аутентифицировать данного пользователя с заданным паролем.Если аутентификация успешно, затем smbd пытается найти пользователя UNIX в UNIX база данных паролей для сопоставления пользователя Windows. Если этот поиск не удается, и добавлен пользовательский скрипт, тогда smbd будет вызвать указанный скрипт КАК ROOT , разворачивая любой % u аргумент в качестве имени пользователя для создания.

Если этот сценарий успешно создает пользователя, smbd будет продолжайте, как если бы пользователь UNIX уже существовал.Таким образом, пользователи UNIX динамически создаются для сопоставить существующие учетные записи Windows NT.

См. Также безопасность, сервер паролей, удалить пользовательский скрипт.

По умолчанию: добавить пользовательский скрипт =

Пример: добавить пользовательский скрипт = / usr / local / samba / bin / add_user% u

добавить пользователя в группу скрипт (G)

Полный путь к скрипту, который будет вызываться при добавлении пользователя в группу с помощью администрирования домена Windows NT инструменты.Он будет запущен smbd (8) КАК КОРНЬ . Любой номер % g будет заменен названием группы и любое % u будет заменено именем пользователя.

Обратите внимание, что команда adduser , используемая в приведенном ниже примере, выполняет не поддерживает используемый синтаксис во всех системах.

По умолчанию: добавить пользователя в групповой сценарий =

Пример: добавить пользователя в сценарий группы = / usr / sbin / adduser% u% g

Если этот параметр установлен на да для общий ресурс, тогда этот общий ресурс будет административным.Административная Общие ресурсы — это сетевые ресурсы по умолчанию, созданные всеми компьютерами под управлением Windows NT. операционные системы. Это акции типа C $, D $ или ADMIN $. Тип этих акций — STYPE_DISKTREE_HIDDEN.

Подробнее см. В разделе о безопасности ниже. информация об этой опции.

По умолчанию: административный ресурс = нет

Это список пользователей, которым будет предоставлено административные привилегии на общей папке.Это означает, что они будет выполнять все файловые операции как суперпользователь (root).

Вы должны использовать эту опцию очень осторожно, как любой пользователь в этот список сможет делать все, что угодно, на акции, независимо от прав доступа к файлам.

По умолчанию: пользователи с правами администратора =

Пример: пользователи с правами администратора = jason

Этот параметр определяет, включены ли специальные функции AFS. за эту акцию.Если включено, предполагается, что каталог, экспортированный через путь параметр — это локальный импорт AFS. В специальные функции AFS включают попытку вручную создать токен AFS если вы включили —with-fake-kaserver в configure.

По умолчанию: afs share = нет

Этот параметр управляет временем жизни токенов, которые AFS фейковые претензии касервер. На самом деле они никогда не истекают, но в этой жизни контролирует, когда клиент AFS забудет токен.

Установите для этого параметра значение 0, чтобы получить NEVERDATE .

По умолчанию: Срок действия токена afs = 604800

Если вы используете функцию fake kaserver AFS, вы можете хотите вручную создать имена пользователей, для которых вы создаете токены. Например, это необходимо, если у вас есть пользователи из нескольких доменов. в вашей базе данных AFS Protection. Одна из возможных схем кодирования пользователей как DOMAIN + User, как это делает winbind с + в качестве разделителя.

Сопоставленное имя пользователя должно содержать имя ячейки для входа, поэтому без установки этого параметра токена не будет.

По умолчанию: afs username map =

Пример: afs username map = %u@afs.samba.org

Целочисленный параметр указывает максимальное количество потоки, которые каждый процесс smbd создает при выполнении параллельного асинхронного ввода-вывода звонки.Если количество невыполненных вызовов больше, чем это номер, запросы не будут отклонены, но попадут в очередь и будут запланированы, в свою очередь, по мере выполнения невыполненных запросов.

Связанная команда: размер чтения aio

Связанная команда: размер записи aio

По умолчанию: aio max потоков = 100

Если для этого целочисленного параметра установлено ненулевое значение, Samba будет читать из файлов асинхронно, когда размер запроса больше чем это значение.Обратите внимание, что это происходит только для несвязанных и несвязанных читает и когда не использует кеш записи.

Единственными разумными значениями для этого параметра являются 0 (без асинхронного ввода-вывода) и 1 (всегда выполняйте асинхронный ввод-вывод).

Связанная команда: размер кэша записи

Связанная команда: размер записи aio

По умолчанию: Размер чтения aio = 1

Пример: Размер чтения aio = 0 # Всегда читает синхронно

Если Samba была построена с поддержкой асинхронного ввода-вывода, Samba не будет ждать завершения запросов на запись перед возвратом результат клиенту для файлов, перечисленных в этом параметре.Вместо этого Samba немедленно вернет, что запись запрос был успешно завершен, независимо от того, операция будет успешной или нет. Это может ускорить работу клиентов без Поддержка aio, но это действительно опасно, потому что данные могут быть потеряны и файлы могут быть повреждены.

Синтаксис идентичен синтаксису файлов вето параметр.

По умолчанию: aio написать после =

Пример: aio write после = / *.tmp /

Если для этого целочисленного параметра установлено ненулевое значение, Samba будет записывать в файлы асинхронно, когда размер запроса больше чем это значение. Обратите внимание, что это происходит только для несвязанных и несвязанных читает и когда не использует кеш записи.

Единственными разумными значениями для этого параметра являются 0 (без асинхронного ввода-вывода) и 1 (всегда выполняйте асинхронный ввод-вывод).

По сравнению с размером чтения AIO этот параметр имеет меньший эффект, большая часть записей должна закончиться в кеш файловой системы.Записи, требующие выделения места, могут больше всего выиграет от перехода в асинхронный режим.

Связанная команда: размер кэша записи

Связанная команда: размер чтения aio

По умолчанию: Размер записи aio = 1

Пример: Размер записи aio = 0 # Всегда делайте запись синхронно

Определяет, как Samba будет использовать свой алгоритмическое сопоставление uids / gid с идентификаторами RID, необходимыми для создания Идентификаторы безопасности NT.

Установка большего значения для этого параметра может быть полезна сайтам переход с WinNT и Win2k, как существующий пользователь и групповые поездки иначе столкнулись бы с системными пользователями и т. д.

Все UID и GID должны быть преобразованы в SID для правильная работа ACL на сервере. Таким образом, алгоритмический отображение нельзя «выключить», но его «отталкивать» следует решить проблемы. После этого пользователям и группам могут быть назначены «низкие» идентификаторы RID. в произвольной поддержке бэкэндов.

По умолчанию: алгоритмическая база избавления = 1000

Пример: алгоритмическая база избавления = 100000

размер округления распределения (S)

Этот параметр позволяет администратору настраивать размер выделения сообщается клиентам Windows. По умолчанию размер 1 МБ обычно приводит к улучшению клиента Windows производительность.Однако округление размера выделения может вызвать трудности для некоторых приложений, например MS Visual Studio. Если компилятор MS Visual Studio начинает сбой с внутренняя ошибка, установите этот параметр равным нулю для этого общего ресурса.

Целочисленный параметр указывает размер округления в байтах.

По умолчанию: размер округления распределения = 1048576

Пример: размер округления распределения = 0 # (для отключения обзоров)

разрешить подключение уровня авторизации dcerpc (G)

Этот параметр определяет, разрешено ли службам DCERPC использоваться с DCERPC_AUTH_LEVEL_CONNECT, который обеспечивает аутентификацию, но ни целостности сообщения, ни защиты конфиденциальности.

Некоторые интерфейсы, такие как samr, lsarpc и netlogon, имеют жестко заданное значение по умолчанию: no и epmapper, mgmt и rpcecho имеют жестко заданное значение по умолчанию: да .

Поведение может быть перезаписано для каждого имени интерфейса (например, lsarpc, netlogon, samr, srvsvc, winreg, wkssvc …) с помощью опции ‘allow dcerpc auth level connect: interface = yes’.

Этот параметр имеет приоритет по отношению к ограничениям реализации. Например. протоколы drsuapi и backupkey требуют DCERPC_AUTH_LEVEL_PRIVACY.Протокол dnsserver требует DCERPC_AUTH_LEVEL_INTEGRITY.

По умолчанию: разрешить подключение уровня авторизации dcerpc = нет

Пример: разрешить подключение уровня авторизации dcerpc = да

Этот параметр определяет, какие обновления DNS разрешены.

Обновления DNS можно полностью запретить, установив для него значение отключен , включен только через безопасные соединения установка только безопасный или разрешенный во всех случаях установив для него небезопасный .

По умолчанию: разрешить обновления DNS = только безопасный

Пример: разрешить обновления DNS = отключено

разрешить небезопасные широкие ссылки (G)

При нормальной работе опция широких ссылок который позволяет серверу следовать символическим ссылкам за пределами общего пути автоматически отключается, когда расширения unix включены на сервере Samba.Это сделано в целях безопасности для предотвращения создания клиентами UNIX символических ссылок на области сервера. файловая система, которую администратор не хочет экспортировать.

Настройка разрешить небезопасные широкие ссылки на true отключает связь между этими двумя параметрами, удаляя эта защита и позволяет сайту настраивать сервер для перехода по символическим ссылкам (путем установки широких ссылок в «истину»), даже если расширения unix включен.

Не рекомендуется включать эту опцию, если вы полностью понимать последствия разрешения серверу переходите по символическим ссылкам, созданным клиентами UNIX.Для большинства нормальные конфигурации Samba, это будет считаться безопасным отверстие и установка этого параметра не рекомендуется.

Эта опция была добавлена ​​по просьбе сайтов, у которых намеренно настроил Samba таким образом, и нужно было продолжить поддержка этой функции без необходимости исправлять Код Samba.

По умолчанию: разрешить небезопасные широкие ссылки = нет

Этот параметр определяет, будет ли сервер входа в сеть (в настоящее время только в режиме «контроллер домена Active Directory»), будет отклонять клиентов, которые не поддерживают NETLOGON_NEG_STRONG_KEYS ни NETLOGON_NEG_SUPPORTS_AES.

Эта опция была добавлена ​​в Samba 4.2.0. Это может заблокировать клиентов который отлично работал с версиями Samba до 4.1.x. как действующий дефолт там было «да», а сейчас «нет».

Если у вас есть клиенты без RequireStrongKey = 1 в реестре, вам может потребоваться установить «allow nt4 crypto = yes», пока вы не исправите все клиенты.

«allow nt4 crypto = yes» позволяет согласовывать слабую криптографию, возможно, с помощью атак перехода на более раннюю версию.

Эта опция имеет приоритет перед опцией «отклонить клиентов md5».

По умолчанию: разрешить NT4 Crypto = нет

разрешить доверенные домены (G)

Этот параметр действует только в том случае, если для параметра безопасности установлено значение сервер , домен или объявления . Если установлено значение нет, то пытается подключиться к ресурсу из домен или рабочая группа, отличные от той, в которой работает smbd in не удастся, даже если этому домену доверяет удаленный сервер выполняет аутентификацию.

Это полезно, если вы хотите, чтобы ваш сервер Samba предоставлять ресурсы пользователям в домене, членом которого он является. В качестве Например, предположим, что есть два домена DOMA и DOMB. DOMB доверяет DOMA, которая содержит сервер Samba. Под нормальным обстоятельства, пользователь с учетной записью в DOMB может получить доступ к ресурсы учетной записи UNIX с тем же именем учетной записи на Сервер Samba, даже если у него нет учетной записи в DOMA. Этот может затруднить реализацию границы безопасности.

По умолчанию: разрешить доверенные домены = да

разрешить небезопасное обновление кластера (G)

Если установлено значение no (по умолчанию), smbd проверяет при запуске, другие версии smbd работают в кластере и отказываются начни если так. Это сделано для защиты от повреждения данных в внутренние структуры данных из-за несовместимых версий Samba работают одновременно в одном кластере. Установка этого параметр на да отключает это проверка безопасности.

По умолчанию: разрешить небезопасное обновление кластера = нет

Этот параметр определяет, будет ли winbind выполнять gpupdate команда, определенная в команде обновления gpo на Интервал обновления групповой политики. Интервал обновления групповой политики составляет определяется как каждые 90 минут плюс случайное смещение от 0 до 30 минут. Это применяет политики машины групповой политики к клиенту или KDC и машинные политики на сервер.

По умолчанию: применить групповые политики = нет

Пример: применить групповую политику = да

асинхронный обработчик эха smb (G)

Этот параметр указывает, должна ли Samba форкнуть обработчик эха async smb. Это может быть полезно, если ваш файл система может блокировать системные вызовы на очень долгое время. В некоторых обстоятельства, это увеличивает время ожидания, которое Windows использует для определить, не работает ли соединение.Этот параметр только для SMB1. Для SMB2 и выше вместо этого можно использовать пакеты поддержки активности TCP.

По умолчанию: async smb echo handler = no

уведомление о событии авторизации (G)

При включении эта опция вызывает Samba (действующая как Контроллер домена Active Directory) для потоковой аутентификации события по внутренней шине сообщений. Скрипты, построенные с использованием Привязки Samba к python могут прослушивать эти события регистрация как услуга auth_event .

Это следует рассматривать как вариант разработчика (помогает в тестовом наборе Samba), а не средство для внешних аудит, так как доставка сообщений не гарантируется (функция что testuite работает вокруг). Дополнительно Samba должна быть скомпилирован с поддержкой jansson, чтобы эта опция была эффективный.

События аутентификации также регистрируются через обычный методы ведения журнала, когда уровень журнала установить соответствующим образом.

По умолчанию: уведомление о событии авторизации = нет

Это список услуг, которыми вы хотите быть автоматически добавляется в списки просмотра.Это очень полезно для дома и услуги принтеров, которые иначе не были бы видимый.

Обратите внимание: если вам просто нужны все принтеры в вашем файл printcap загружен, затем загружаются принтеры вариант проще.

По умолчанию: автосервис =

Пример: автосервис = fred lp colorlp

Этот параметр позволяет «отключить» службу.Если в наличии = нет , затем ВСЕ попытки подключиться к службе не удастся. Такие неудачи зарегистрирован.

По умолчанию: доступно = да

Этот параметр определяет каталог, в котором самба будет хранить конфигурацию. файлы для связывания, такие как named.conf. ПРИМЕЧАНИЕ. Каталог bind dns должен находиться в той же точке монтирования, что и частный каталог!

По умолчанию: binddns dir = $ {prefix} / bind-dns

Этот глобальный параметр позволяет администратору Samba для ограничения того, какие интерфейсы на машине будут обслуживать запросы SMB.Это влияет на файловую службу smbd (8) и службу имен nmbd (8) несколько иначе.

Для службы имен nmbd привязывается к портам 137 и 138 на интерфейсы, перечисленные в параметре interfaces. nmbd также привязывается к интерфейсу «все адреса» (0.0.0.0) на портах 137 и 138 для целей чтение широковещательных сообщений. Если этот параметр не установлен, nmbd будет запросы имени службы для всех этих сокетов. Если установлен только интерфейс привязки, то nmbd проверит исходный адрес всех пакетов, поступающих на широковещательные сокеты и отбросьте все, которые не соответствуют широковещательным адресам интерфейсов в список параметров интерфейсов.Поскольку одноадресные пакеты принимаются на другие сокеты, позволяет nmbd отказывать в обслуживании имен машинам, которые отправляют пакеты, поступают через любые интерфейсы, не указанные в списке интерфейсов. IP-адрес источника Однако спуфинг не позволяет выполнить эту простую проверку, поэтому его не следует серьезно использовать в качестве средства безопасности для НМБД .

Для файловой службы он заставляет smbd (8) связываться только со списком интерфейсов, указанным в параметре interfaces. Это ограничивает сети, которые smbd будет служить для пакетов, поступающих на эти интерфейсы.Обратите внимание, что вы не должны использовать этот параметр для машин, которые обслуживают PPP или другие прерывистые или нешироковещательные сетевые интерфейсы, поскольку они не справляются с непостоянные интерфейсы.

Если установлен только интерфейс привязки и сетевой адрес 127.0.0.1 не добавлен в список параметров интерфейсов smbpasswd (8) не может работать должным образом по причинам, указанным ниже.

Чтобы изменить пароль пользователя SMB, smbpasswd по умолчанию подключается к локальный хост — 127.0.0.1 адрес в качестве SMB-клиента для отправки запроса на смену пароля. Если тогда устанавливается только привязка интерфейсов, если только сетевой адрес 127.0.0.1 добавлен в список параметров интерфейсов, тогда smbpasswd не сможет подключиться в режиме по умолчанию. smbpasswd можно принудительно использовать основной IP-интерфейс локального хоста с помощью его smbpasswd (8) -r удаленный компьютер параметр, с удаленный machine установлен в IP-имя первичного интерфейса локального хоста.

По умолчанию: только интерфейсы привязки = нет

Этот параметр управляет поведением smbd (8) по запросу клиента чтобы получить блокировку диапазона байтов в области открытого файла, а с запросом связано ограничение по времени.

Если этот параметр установлен и запрошен диапазон блокировки не может быть удовлетворен немедленно, самба будет внутренне поставить в очередь запрос блокировки и периодически пытаться получить блокировка до истечения периода ожидания.

Если этот параметр установлен на нет , то samba будет вести себя как предыдущие версии Samba и немедленно не выполнит запрос блокировки, если диапазон блокировки не может быть получен.

По умолчанию: блокирующие замки = да

Этот параметр управляет поведением smbd (8) при сообщении о свободном диске размеры. По умолчанию это сообщает размер блока диска 1024 байта.

Изменение этого параметра может повлиять на Работоспособность клиента пишет, это пока не подтверждено.Этот был добавлен параметр, позволяющий продвинутым администраторам изменять это (обычно на более высокое значение) и проверить влияние, которое он оказывает на производительность записи клиента без повторной компиляции кода. Как это это экспериментальный вариант, он может быть удален в будущем выпуске.

Изменение этого параметра не влияет на отчет о свободном диске size, просто единица размера блока, сообщаемая клиенту.

По умолчанию: размер блока = 1024

Пример: размер блока = 4096

Этот параметр определяет, отображается ли эта доля в список доступных общих ресурсов в сетевом представлении и в списке просмотра.

По умолчанию: с возможностью просмотра = да

Этот параметр определяет, будет ли smbd (8) обслуживать список просмотра для клиент, выполняющий вызов NetServerEnum . Как обычно установить да . Вам никогда не нужно менять этот.

По умолчанию: список просмотра = да

Обычно большая часть файлов TDB хранится в каталоге блокировки .Начиная с Samba 3.4.0, это можно различать файлы TDB с постоянными данными и Файлы TDB с непостоянными данными с использованием государственный справочник и кеш-каталог опций.

Эта опция указывает каталог для хранения TDB файлы, содержащие непостоянные данные, которые будут храниться в сервис перезапускается. Каталог следует разместить на постоянном хранилище, но данные могут быть безопасно удалены администратор.

По умолчанию: каталог кеша = $ {prefix} / var / cache

Пример: каталог кеша = / var / run / samba / locks / cache

См. Обсуждение в разделе «Изменение имени».

По умолчанию: с учетом регистра = авто

Этот параметр указывает, должна ли Samba отвечать к клиентскому файлу запросы уведомления об изменении.

Вы никогда не должны изменять этот параметр

По умолчанию: уведомление об изменении = да

Samba 2.2.0 представила возможность динамического добавления и удаления общих ресурсов через сервер Windows NT 4.0. Управляющий делами. Команда изменения доли используется для определения внешнего программа или сценарий, которые изменят существующее определение службы в smb.conf .

Чтобы успешно выполнить изменить команду доли , smbd требует, чтобы администратор подключается с использованием учетной записи root (т.е. uid == 0) или имеет Привилегия SeDiskOperatorPrivilege . Сценарии, определенные в команде изменения доли параметр выполняются как root.

При выполнении smbd автоматически вызовет изменить команду доли с шестью параметрами.

• configFile — расположение глобального файла smb.conf .

• shareName — название нового Поделиться.

• pathName — путь к ** существующему ** каталог на диске.

• комментарий — строка комментария для связывания с новой долей.

• макс. соединения Максимальное количество одновременных подключений к этому Поделиться.

• Политика CSC — кэширование на стороне клиента политика в строковой форме. Допустимые значения: руководство, документы, программы, отключить.

Этот параметр используется только для изменения существующих определений файлового ресурса. Чтобы изменить общие принтеры, используйте папку «Принтеры …», как показано при просмотре хоста Samba.

По умолчанию: изменить команду доли =

Пример: команда изменения доли = / usr / local / bin / changeshare

проверить удаление родительского каталога при закрытии (S)

Сервер SMB Windows запрещает клиенту создавать файлы в каталог, для которого установлен флаг удаления при закрытии.По умолчанию Samba не выполните эту проверку, поскольку эта проверка в Samba — довольно дорогостоящая операция.

По умолчанию: проверять удаление родительского каталога при закрытии = нет

скрипт проверки пароля (G)

Имя программы, которая может использоваться для проверки пароля. сложность. Пароль отправляется на стандартный ввод программы.

Программа должна возвращать 0 при хорошем пароле или любое другое значение если пароль плохой.Если пароль считается ненадежным (программа не возвращает 0), пользователь будет уведомлен, и изменить пароль не удастся.

В Samba AD этот сценарий будет запущен КАК ROOT с помощью samba (8) без замен.

Примечание. В каталоге с примерами находится пример программы под названием crackcheck который использует cracklib для проверки качества пароля.

По умолчанию: сценарий проверки пароля = # Отключено

Пример: сценарий проверки пароля = / usr / local / sbin / crackcheck

Эта опция управляет портом, используемым протоколом CLDAP.

По умолчанию: cldap port = 389

Пример: cldap port = 3389

клиентский протокол ipc max (G)

Значение параметра (строки) самое высокое уровень протокола, который будет поддерживаться для соединений IPC $ как транспорт DCERPC.

Обычно эту опцию не следует устанавливать как автоматический фаза переговоров в протоколе SMB заботится о выборе соответствующий протокол.

Значение по умолчанию относится к последнему поддерживаемый протокол, в настоящее время SMB3_11 .

Полный список см. В протоколе client max. доступных протоколов. Значения CORE, COREPLUS, LANMAN1, LANMAN2 незаметно обновляются до NT1.

По умолчанию: client ipc max протокол = по умолчанию

Пример: client ipc max протокол = SMB2_10

клиентский протокол ipc min (G)

Этот параметр определяет минимальную версию протокола, которую будет предпринята попытка использовать для соединений IPC $ в качестве транспорта DCERPC.

Обычно эту опцию не следует устанавливать как автоматический фаза переговоров в протоколе SMB заботится о выборе соответствующий протокол.

Значение по умолчанию относится к более высокому значению NT1 и эффективное значение клиентский мин протокол.

Полный список см. В протоколе client max. доступных протоколов. Значения CORE, COREPLUS, LANMAN1, LANMAN2 незаметно обновляются до NT1.

По умолчанию: client ipc min протокол = по умолчанию

Пример: client ipc min протокол = SMB3_11

Этот параметр определяет, разрешено или необходимо клиенту использовать подписывание SMB для IPC $ соединения как транспорт DCERPC.Возможные значения авто , обязательное и отключены .

Если установлено обязательное значение или значение по умолчанию, требуется подпись SMB.

При установке на авто подписывание SMB предлагается, но не принудительно, и если установлено для отключения подписывание SMB также не предлагается.

Подключения от winbindd к контроллерам домена Active Directory всегда принудительно подписывать.

По умолчанию: подпись IPc клиента = по умолчанию

Этот параметр определяет, будет ли smbclient (8) и другой клиент samba инструменты будут пытаться аутентифицироваться на серверах, используя более слабый хэш пароля LANMAN.Если отключено, только сервер с поддержкой NT хэши паролей (например, Windows NT / 2000, Samba и т. д., но не Windows 95/98) можно будет подключиться из клиента Samba.

Зашифрованный ответ LANMAN легко сломать из-за его нечувствительность к регистру и выбор алгоритма. Клиенты без Windows 95/98 серверы рекомендуется отключить этот вариант.

Отключение этого параметра также отключит параметр аутентификации открытого текста клиента .

Аналогично, если клиент ntlmv2 параметр auth включен, тогда будут выполняться только логины NTLMv2. попытался.

По умолчанию: client lanman auth = no

Обертывание sasl ldap клиента (G)

Обертка sasl ldap клиента определяет, Трафик ldap будет подписан или подписан и зашифрован (запечатан). Возможные значения: простой , знак и печать .

Значения знак и печать являются доступно только в том случае, если Samba была скомпилирована для современной Версия OpenLDAP (2.3.x или выше).

Эта опция необходима в случае, если контроллеры домена применяют использование подписанных соединений LDAP (например, Windows 2000 SP3 или выше). Подписание и печать LDAP можно контролировать с помощью ключа реестра « HKLM \ System \ CurrentControlSet \ Services \ NTDS \ Parameters \ LDAPServerIntegrity » на стороне сервера Windows.

В зависимости от используемой библиотеки KRB5 (MIT и более старые версии Heimdal) возможно, что сообщение «только целостность» не поддерживается.В данном случае знак — это просто псевдоним для пломба .

Значение по умолчанию — , знак . Это подразумевает синхронизацию времени с KDC в случае использования Kerberos .

По умолчанию: client ldap sasl wrapping = sign

Значение параметра (строки) самое высокое уровень протокола, который будет поддерживаться клиентом.

Возможные значения:

• CORE : самая ранняя версия. Нет понятие имен пользователей.

• COREPLUS : Небольшие улучшения CORE для эффективности.

• LANMAN1 : Первый современный версия протокола. Поддержка длинных файлов.

• LANMAN2 : Обновления протокола Lanman1.

• NT1 : Актуальная обновленная версия протокола.Используется Windows NT. Известный как CIFS.

• SMB2 : повторная реализация протокола SMB. Используется Windows Vista и более поздними версиями Windows. SMB2 имеет дополнительные протоколы.

  • SMB2_02 : самая ранняя версия SMB2.

  • SMB2_10 : версия Windows 7 SMB2.

  • SMB2_22 : ранняя версия Windows 8 SMB2.

  • SMB2_24 : бета-версия SMB2 для Windows 8.

  По умолчанию SMB2 выбирает вариант SMB2_10.

• SMB3 : то же, что и SMB2. Используется Windows 8. SMB3 имеет дополнительные протоколы.

  • SMB3_00 : версия Windows 8 SMB3. (в основном то же самое, что и SMB2_24)

  • SMB3_02 : версия Windows 8.1 SMB3.

  • SMB3_10 : ранняя техническая предварительная версия Windows 10 SMB3.

  • SMB3_11 : техническая предварительная версия Windows 10 SMB3 (возможно, окончательная).

  По умолчанию SMB3 выбирает вариант SMB3_11.

Обычно эту опцию не следует устанавливать как автоматический фаза переговоров в протоколе SMB заботится о выборе соответствующий протокол.

Значение по умолчанию относится к SMB3_11 .

IPC $ соединений для DCERPC, например в winbindd обрабатываются клиентская опция протокола ipc max.

По умолчанию: максимальный протокол клиента = по умолчанию

Пример: максимальный протокол клиента = LANMAN1

Этот параметр определяет минимальную версию протокола, которую клиент попытается использовать.

Обычно эту опцию не следует устанавливать как автоматический фаза переговоров в протоколе SMB заботится о выборе соответствующий протокол.

См.

Связанная команда: максимальный протокол клиента

для полного списка доступных протоколов.

IPC $ соединений для DCERPC, например в winbindd обрабатываются параметр протокола client ipc min.

По умолчанию: минимальный протокол клиента = CORE

Пример: минимальный протокол клиента = NT1

Этот параметр определяет, будет ли smbclient (8) пытаться аутентифицироваться на серверах, используя зашифрованный пароль NTLMv2 ответ.

Если включено, только ответ NTLMv2 и LMv2 (оба намного больше безопаснее, чем предыдущие версии) будут отправлены. Старые серверы (включая NT4

Аналогично, если включено, NTLMv1, client lanman auth и client plaintext auth аутентификация будет отключена. Это также отключает уровень общего доступа аутентификация.

Если отключено, ответ NTLM (и, возможно, ответ LANMAN) будет отправлен клиентом, в зависимости от значения client, lanman auth .

Обратите внимание, что Windows Vista и более поздние версии уже используют NTLMv2 по умолчанию, а некоторые сайты (особенно следующие политики безопасности ‘передовой практики’) разрешают только ответы NTLMv2, и не более слабый LM или NTLM.

При использовании клиента spnego также устанавливается на да требуется расширенная безопасность (SPNEGO) чтобы использовать NTLMv2 только в NTLMSSP. Такое поведение было введен с исправлениями для CVE-2016-2111.

По умолчанию: клиент NTLMv2 auth = да

проверка подлинности открытого текста клиента (G)

Указывает, должен ли клиент отправлять открытый текст пароль, если сервер не поддерживает зашифрованные пароли.

По умолчанию: аутентификация открытого текста клиента = нет

Эта опция устарела в Samba 4.8 и будет удалена в будущем. В то же время значение по умолчанию изменилось на да, что будет жестко запрограммированное поведение в будущем.

Это контролирует, предлагает ли клиент или даже требует ли использование канала входа в сеть. client schannel = no не предлагает канал, client schannel = auto предлагает канал, но не принудительно применить его, и клиент schannel = yes запрещает доступ если сервер не может говорить по netlogon schannel.

Обратите внимание, что для доменов Active Directory это жестко запрограммировано на client schannel = да.

Этот параметр имеет приоритет перед параметром «Требовать надежный ключ».

По умолчанию: client schannel = да

Пример: client schannel = auto

Этот параметр определяет, разрешено или необходимо клиенту использовать подписывание SMB.Возможные значения авто , обязательное и отключены .

При установке на авто или по умолчанию подписывание SMB предлагается, но не принудительно.

Если установлено в обязательном порядке, требуется подписывание SMB, а если установлено для отключения подписывание SMB также не предлагается.

IPC $ соединений для DCERPC, например в winbindd обрабатываются опция подписи клиента ipc.

По умолчанию: подписывание клиента = по умолчанию

клиент использует принципала spnego (G)

Этот параметр определяет, нужно ли smbclient (8) и другие компоненты самбы действуя как клиент, попытается использовать предоставленный сервером принципал иногда предоставляется на бирже SPNEGO.

Если включено, Samba может попытаться использовать Kerberos для связи серверы известны только по IP-адресу. Kerberos полагается на имена, поэтому обычно не может работать в этой ситуации.

Это ОЧЕНЬ ПЛОХАЯ ИДЕЯ по соображениям безопасности, так что это параметр НЕ ДОЛЖЕН ИСПОЛЬЗОВАТЬСЯ. Он будет удален в будущем версия Samba.

Если отключено, Samba будет использовать имя, используемое для поиска сервер при запросе билета у KDC. Это позволяет избежать ситуаций где сервер может выдавать себя за другого, требуя аутентификации как один принципал, а в сети известен как другой.

Обратите внимание, что Windows XP SP2 и более поздние версии уже следуют это поведение, и серверы Windows Vista и более поздних версий больше не предоставьте этот принцип ‘rfc4178 hint’ на стороне сервера.

Этот параметр устарел в Samba 4.2.1 и будет удален. (вместе с функциональностью) в более позднем выпуске Samba.

По умолчанию: использование клиента spnego принципала = нет

Эта переменная определяет, будут ли клиенты Samba пытаться использовать простой и защищенный отказ (как указано в rfc2478) с поддерживающие серверы (включая WindowsXP, Windows2000 и Samba 3.0) согласовать аутентификацию механизм. Это, в частности, включает аутентификацию Kerberos.

Когда клиент NTLMv2 auth также установлен на да требуется расширенная безопасность (SPNEGO) чтобы использовать NTLMv2 только в NTLMSSP. Такое поведение было введен с исправлениями для CVE-2016-2111.

По умолчанию: использование клиента spnego = да

С помощью этого параметра вы можете добавить дополнительные адреса nmbd зарегистрируется на WINS-сервере.Эти адреса не обязательно присутствуют на всех узлах одновременно, но они будут быть зарегистрированным на WINS-сервере, чтобы клиенты могли связываться любой из узлов.

По умолчанию: адресов кластера =

Пример: адресов кластера = 10.0.0.1 10.0.0.2 10.0.0.3

Этот параметр указывает, следует ли Samba связываться с ctdb для доступа к файлам tdb и использования ctdb в качестве бэкэнда для своей системы обмена сообщениями.

Установите для этого параметра значение да , только если у вас есть установка кластера с запущенным ctdb.

По умолчанию: кластеризация = нет

Это текстовое поле, которое отображается рядом с общей папкой когда клиент запрашивает сервер, либо через сеть окрестности или через net view , чтобы указать, какие акции доступны.

Если вы хотите установить строку, которая отображается рядом с имя машины, затем см. строковый параметр сервера.

По умолчанию: комментарий = # Без комментариев

Пример: комментарий = Файлы Фреда

Это контролирует серверную часть для хранения конфигурации. Возможные значения: файл (по умолчанию) и регистр . Когда config backend = registry встречается при загрузке smb.conf , прочитанная конфигурация отбрасывается, а глобальный параметры вместо этого считываются из реестра.Итак, это вызывает Только конфигурация реестра. Не читаются определения долей сразу а вместо этого реестр акций установлено на да .

Примечание: этот параметр нельзя установить в реестре. Сама конфигурация.

По умолчанию: бэкэнд конфигурации = файл

Пример: бэкэнд конфигурации = реестр

Это позволяет вам переопределить файл конфигурации использовать вместо значения по умолчанию (обычно smb.conf ). Здесь есть проблема с курицей и яйцом, поскольку этот параметр установлен в конфигурационном файле!

По этой причине, если имя файла конфигурации изменилось когда параметры загружены, он перезагрузит их из новый файл конфигурации.

Эта опция принимает обычные замены, которые могут быть очень полезным.

Если файл конфигурации не существует, он не будет загружен (что позволяет вам в особом случае использовать конфигурационные файлы всего нескольких клиентов).

Нет по умолчанию

Пример: файл конфигурации = / usr / local / samba / lib / smb.конф.% m

Этот параметр позволяет «клонировать» службу записи. Указанная услуга просто дублируется под название текущей службы. Любые параметры, указанные в текущем раздел будет иметь приоритет над теми, которые находятся в копируемом разделе.

Эта функция позволяет настроить службу «шаблон» и легко создавать аналогичные сервисы. Обратите внимание, что служба скопировано должно появиться в файле конфигурации раньше, чем сервис, делающий копирование.

По умолчанию: копия =

Пример: копия = другие услуги

Установка этого параметра на нет предотвращает winbind от создания собственных файлов krb5.conf. Winbind обычно делает это потому, что библиотеки krb5 не поддерживают сайт AD и, следовательно, выберите любой контроллер домена из потенциально очень многих. Winbind знает сайт и заставляет библиотеки krb5 использовать локальный контроллер домена создавая собственный krb5.conf файлы.

Предотвратить это может потребоваться, если вы необходимо добавить специальные параметры в вашу систему-krb5.conf, которые winbind не видит.

По умолчанию: создать krb5 conf = да

При создании файла необходимые разрешения рассчитываются в соответствии с отображением из режимов DOS в Разрешения UNIX, и результирующий режим UNIX затем побитовым «И» с этим параметром.Этот параметр может можно рассматривать как побитовую маску для режимов файла UNIX. Любой бит , не установленный здесь, будет удаляться из режимов, установленных для файла при его создании.

Значение по умолчанию этого параметра удаляет группу и другие записывать и выполнять биты из режимов UNIX.

После этого Samba выполнит поразрядное «ИЛИ» режим UNIX, созданный из этого параметра, со значением параметр режима принудительного создания, который по умолчанию установлен на 000.

Этот параметр не влияет на маски каталогов. См. Маску каталога параметров для подробностей.

По умолчанию: создать маску = 0744

Пример: создать маску = 0775

Это означает политику кэширования на стороне клиента и указывает, как клиенты могут работать в автономном режиме. кэширование будет кэшировать файлы в общей папке.Допустимые значения: руководство, документы, программы, отключить.

Эти значения соответствуют тем, которые используются на серверах Windows.

Например, для общих ресурсов, содержащих перемещаемые профили, можно отключить автономное кэширование с помощью csc policy = отключить.

По умолчанию: csc policy = manual

Пример: csc policy = программ

Если вы установите clustering = yes , вам нужно указать Samba, где ctdbd прослушивает свой домен unix разъем.Путь по умолчанию для ctdb 1.0 — /tmp/ctdb.socket, который вы должны явно указать Samba в smb.conf.

По умолчанию: ctdbd socket =

Пример: ctdbd socket = /tmp/ctdb.socket

порог предупреждения о времени блокировки ctdb (G)

В кластерной среде с использованием Samba и ctdb очень важно который блокирует центральные базы данных ctdb, например блокировку.tdb держатся недолго. С текущей архитектурой Samba бывает, что Samba принимает блокировку и, удерживая ее lock выполняет вызовы файловой системы в общий файл кластера система. Эта опция заставляет Samba предупреждать, если обнаруживает, что удерживал блокировки на указанное количество миллисекунд. Если это происходит, smbd выдаст уровень отладки 0 сообщение в его журналы и, возможно, в системный журнал. Наиболее вероятно Причина такого сообщения журнала заключается в том, что работа кластера файловая система Экспорт Samba занимает больше времени, чем ожидалось.Сообщения предназначены для помощи в отладке потенциальных кластерные проблемы.

Значение по умолчанию 0 отключает ведение журнала.

По умолчанию: ctdb locktime warn threshold = 0

Этот параметр указывает время ожидания в миллисекундах для соединение между Samba и ctdb. Это действительно только если вы скомпилировали Samba с кластеризацией, и если у вас есть установить clustering = yes .

Когда что-то в кластере блокируется, может случиться так, что мы бесконечно долго ждем ctdb, просто добавляя состояние блокировки. В хорошо работающем кластере это должно никогда не происходит, но в кластере слишком много компонентов это могло вызвать проблемы. Выбор правильного баланса для этого значение очень сложно, потому что на загруженном кластере долгое обслуживание время для передачи чего-либо через кластер может быть действительный. Установка слишком короткого значения ухудшит качество обслуживания вашего кластер присутствует, слишком длинная установка может привести к тому, что кластер сам не оправиться от чего-то сильно сломанного тоже длинный.

Имейте в виду, что если вы установите этот параметр, он должен быть в файл smb.conf, помещать его в конфигурация реестра (типичная для кластера), потому что доступ к контакту реестра для ctdb не требуется.

Установка ctdb timeout to n делает любой процесс, ожидающий более n миллисекунд ответа от кластерная паника. Если установить значение 0 (по умолчанию), Samba заблокировать навсегда, что настоятельно рекомендуется по умолчанию.

По умолчанию: Тайм-аут ctdb = 0

таймаут подключения чашек (G)

Этот параметр применим, только если для печати установлено значение чашек .

Если установлен, этот параметр указывает количество секунд, в течение которых smbd будет ждать при попытке связаться с сервером CUPS. Соединение не удастся если это длится дольше указанного количества секунд.

По умолчанию: Тайм-аут соединения чашек = 30

Пример: Тайм-аут подключения чашек = 60

Этот параметр применим только при печати установлен на чашек , и если вы используете CUPS новее, чем 1.0.x. Используется для определения, следует ли Samba использовать шифрование. при разговоре с сервером CUPS. Возможные значения: авто , да и №

Если установлено значение auto, мы попытаемся выполнить рукопожатие TLS на каждом CUPS. настройка подключения. Если это не удастся, мы вернемся к незашифрованному операция.

По умолчанию: чашки зашифрованы = нет

Этот параметр применим, только если печать установлен на чашек .Его значение представляет собой строку параметров в произвольной форме. перешли прямо в библиотеку кубков.

Вы можете передать любую общую опцию печати, известную CUPS (как указано в «Руководстве пользователя программного обеспечения» CUPS). Так же можно передать любой принтер конкретная опция (как указано в «lpoptions -d printername -l») действительно для целевой очереди. Несколько параметров должны быть разделены пробелами парами имя / значение в соответствии с спецификация ABNF текстовой опции PAPI. Значения коллекции («name = {a = … b =… c = …} «) сохраняются с неповрежденными фигурными скобками.

Вы должны установить этот параметр на raw , если ваш сервер CUPS error_log файл содержит такие сообщения, как «Неподдерживаемый формат ‘application / octet-stream’» при печати из клиента Windows через Samba. Больше не нужно включать общесистемная необработанная печать в /etc/cups/mime.{convs,types} .

По умолчанию: вариантов чашек = ""

Пример: вариантов чашек = "raw media = a4"

Этот параметр применим, только если для печати установлено значение чашек .

Если установлено, этот параметр переопределяет параметр ServerName в CUPS client.conf . Это необходимо, если у вас есть виртуальные серверы самбы, которые подключаются к разным демонам CUPS.

Дополнительно можно указать порт, разделив имя сервера и номер порта через двоеточие. Если порт не указан, будет использоваться порт по умолчанию для IPP (631).

По умолчанию: cups server = ""

Пример: cups server = mycupsserver

Пример: cups server = mycupsserver: 1631

серверы конечных точек dcerpc (G)

Указывает, какие серверы конечных точек DCE / RPC должны быть запущены.

По умолчанию: конечных серверов dcerpc = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver

Пример: серверы конечных точек dcerpc = rpcecho

Значение параметра (десятичное целое число) представляет количество минут бездействия перед подключением считается мертвым, и он отключен.Мертвое время занимает только эффект, если количество открытых файлов равно нулю.

Это полезно для остановки ресурсов сервера. исчерпаны большим количеством неактивных подключений.

Большинство клиентов имеют функцию автоматического переподключения, когда соединение прервано, поэтому в большинстве случаев этот параметр должен быть прозрачен для пользователей.

Использование этого параметра с таймаутом в несколько минут рекомендуется для большинства систем.

Нулевое время нечувствительности указывает на то, что автоматическое отключение отсутствует. должен быть выполнен.

По умолчанию: мертвое время = 0

Пример: мертвое время = 15

Если этот логический параметр включен, класс отладки (DBGC_CLASS) будет отображаться в заголовке отладки.

Для получения дополнительной информации о доступных в настоящее время классах отладки см.