KZoli: Új oldal, tartalma: „Ebben a leírásban SSH-tunnelezett kapcsolatot állítunk be Ubuntu 16.04 LTS (desktop vagy notebook) munkaállomásról egy (távoli) Samba szerverre, amelyet elsőso…”

2018-05-29T20:47:31Z

Új oldal, tartalma: „Ebben a leírásban SSH-tunnelezett kapcsolatot állítunk be Ubuntu 16.04 LTS (desktop vagy notebook) munkaállomásról egy (távoli) Samba szerverre, amelyet elsőso…”

Új lap

Ebben a leírásban SSH-tunnelezett kapcsolatot állítunk be Ubuntu 16.04 LTS (desktop vagy notebook) munkaállomásról egy (távoli) Samba szerverre, amelyet elsősorban fájlkiszolgálóként szeretnénk használni.

''A leírás - értelemszerű módosításokkal - Lubuntu 16.04 LTS alatt is használható.''

==Szerver oldali teendők==
A szerver oldalon:
* létre kell hozni a (''Samba/Windows mapped'') Linux felhasználót és be kell sorolni a jogosultságainak megfelelő (''Samba/Windows-mapped'') Linux csoportokba. Ennek módja a használt backendtől és adminisztrációs felülettől (pl. tdbsam/''Samba Manager'', LDAP/[http://phpldapadmin.sourceforge.net/wiki/index.php/Main_Page phpLDAPadmin], egyéb [http://www.samba.org/samba/GUI/ Samba GUI], stb.) függ.
* szükségünk lesz egy SSH-tunnelezésre alkalmas, ''passphrase''-zel védett RSA-2 kulcspárra, melynek privát kulcsa legyen ''OpenSSH'' formátumú, publikus kulcsát pedig a létrehozott (''Samba/Windows mapped'') Linux felhasználó ''~/.ssh/authorized_keys2'' könyvtárában kell elhelyeznünk, célszerűen az alábbi korlátozásokkal:
<pre>command="/bin/false",no-pty,no-X11-forwarding,no-agent-forwarding,no-port-forwarding,permitopen="localhost:139",permitopen="127.0.0.1:139",permitopen="localhost:445",permitopen="127.0.0.1:445" ssh-rsa ...</pre>
''Megjegyzés:'' a ''Samba Manager'' a kulcspárt felhasználó létrehozatalakor automatikusan elkészíti és elhelyezi.

Ha a felhasználó korábban már létrejött, van kulcspárja és a csoportokba sorolás is megtörtént, szerver oldali tennivaló nincsen.
====Szerver oldali teendők smbm használata esetén====
''Az alábbiak csak arra az esetre vonatkoznak, ha a szerveren a Samba Manager (smbm) toolkit telepítve van.<br>Feltételezzük, hogy a házirend szerinti Samba/Windows felhasználónév vezeteknev.keresztnev alakú.''

A Samba Managert futtató fájlszerveren ''root''-ként adjuk ki ezeket a parancsokat:
<pre>smbm -au vezeteknev.keresztnev password # password opcionális</pre>
* Létrehozza a felhasználót ''vezeteknev.keresztnev'' Samba/Windows felhasználónévvel és ha nem adunk meg jelszót, generált jelszóval; valamint a háttérben ''smbNNNNN'' Linux felhasználónévvel (jelszavas belépés lehetősége nélkül).
* Létrehozza a felhasználó ''home'' könyvtárát, elhelyez benne egy generált, tunnelezésre használható kulcspárt, amelynek jelszava (''passphrase'') a Samba/Windows jelszóval megegyezik.
A csoportokba soroláshoz:
<pre>smbm -lg # Listázza a létező Samba/Windows csoportokat
smbm -aug vezeteknev.keresztnev "Windows csoportnév" # Beteszi a felhasználót a csoportba
smbm -lug vezeteknev.keresztnev # Listázza a felhasználó csoporttagságait</pre>
Ha ezzel készen vagyunk, kiléphetünk a szervergépből.

==Kliens oldali teendők==
Az alábbiakban a szerver oldali TCP/445-ös port forgalmát fogjuk tunnelezni a ''local'' interface (127.0.0.1) TCP/44445-ös portjára, majd a Nautilus fájlkezelőben könyvjelző(ke)t állítunk be, amelyeken a távoli megosztás(ok) elérhető(ek). Így, a tunnelt elindítva, a távoli tárhelyen a helyi fájlrendszerrel analóg módon dolgozhatunk.

Szükségünk lesz:
* a felhasználó tunnelezésre alkalmas privát kulcsára és annak ''passphrase''-ára;
* a felhasználó Samba/Windows felhasználónevére (pl. ''vezeteknev.keresztnev'') és Samba/Windows jelszavára;
* a felhasználó gépén ''sudo'' képességre a szükséges eszközök telepítéséhez.

===Teendők adminisztrátorként===
Adminisztrátorként (''sudo''-képes felhasználóként) lépjünk be a beállítandó munkaállomásra.

Jelen leírásban a [http://sourceforge.net/projects/gstm/ Gnome SSH Tunnel Manager-t] használjuk grafikus felületként a tunnel(ek) kezelésére. A ''gSTM'' az Ubuntu terjesztés része, CTRL-ALT-T (terminál ablak hívása) után a
<pre>sudo apt-get install gstm # + függőségek</pre>
paranccsal telepíthető. Telepítés után a Dash-ból, vagy a ''Classic Menu'' - ''Internet'' menüpontjából indítható.

===Teendők korlátozott felhasználóként===
Kérjük meg a felhasználót, hogy lépjen be a beállítandó munkaállomásra a saját nevében, és ha használ pl. VeraCryptet, csatolja fel a titkosított meghajtót.
====A privát kulcs elhelyezése====
Ha a felhasználó több, tunnelezésre használt privát kulccsal is rendelkezik, az alábbiakat külön-külön, minden kulcsra el kell végeznünk.
* Ha a felhasználó rendelkezik titkosított meghajtóval, a Samba tunnelezéshez használatos privát kulcsát mozgassuk át a titkosított meghajtóra (pl. a ''[mount point]/Keys'' könyvtárba). ''Opcionálisan'' elhelyezhetünk a kulcs(ok) mellett, a titkosított meghajtón egy szövegfájlt is, amelyben az eredeti ''passphrase'' és a Samba/Windows felhasználónév illetve jelszó is szerepel.
* Ha nincs titkosított meghajtó, a kulcsot a felhasználó ''home'' könyvtárában a ''~/.ssh'' alatt helyezzük el.

Sajnos, úgy tűnik, a ''gSTM'' nem használ kulcskarikát, illetve nem tudja megjegyezni a kulcshoz tartozó ''passphrase''-t ('''TODO!'''), így azt minden tunnel indításkor újra meg kellene adni.
* Ha a kulcs titkosított meghajtón van, ''opcionálisan'' készíthetünk róla ''passphrase'' nélküli másolatot:
<pre>openssl rsa -in [key_pathname] -out [key_pathname]-nopass # Ez utóbbi már nem kér jelmondatot</pre>
* Ha a kulcs nem titkosított meghajtón van, nem javasolt elvennünk a ''passphrase''-t(!), de megváltoztathatjuk azt a felhasználó által megjegyezhetőre (próbáljuk meggyőzni a felhasználót a relatív erős ''passphrase'' - még inkább a titkosított meghajtó! - szükségességéről):
<pre>openssl rsa -in [key_pathname] -des3 -out [key_pathname]-newpass # Ez utóbbi az újonnan begépelt jelmondattal nyitható</pre>
====A hozzáférés beállítása====
Dash-ból, vagy a ''Classic Menu'' - ''Internet'' menüpontjából indítsuk el a ''gSTM''-et, és rögzítsük a Launcherre.

A Hozzáadás nyomógombbal készítsünk egy új tunnelt:
* a ''Tunnel configuration'' részben értelemszerűen töltsük ki a távoli szerver elérési adatait (az ''smbm'' használata esetén a szükséges login név ''smbNNNNN'' alakú), illetve írjuk be a használandó privát kulcs abszolút(!) elérési útvonalát (sajnos nem lehet tallózni). Az ''Autostart'' engedélyezése akkor célszerű, ha a felhasználó csak egy tunnelt használ - ez esetben a program elindítása azonnal meg is nyitja a tunnelt;
* egyetlen ''Port redirection'' szükséges, a Hozzáadás nyomógomb után ''Type:'' local, ''Port:'' 44445, ''Host:'' localhost, ''To port:'' 445 paraméterekkel. Több tunnel beállítása esetén a már foglalt 44445 helyett tetszőleges további, magas (1024 feletti) helyi portszámokat használhatunk.
A ''Tunnel properties'' ablak bezárása (OK) után indítsuk el a tunnelt (Start) - zöld ikon jelzi a sikeres indulást. A port továbbítás létrejöttét az alábbi parancsokkal ellenőrizhetjük:
<pre>netstat -tanu | grep ':44445' # illetve, amilyen portszámot beállítottunk

tcp 0 0 127.0.0.1:44445 0.0.0.0:* LISTEN</pre>
Funkcionális teszt:
<pre>telnet 127:0.0.1 44445 # illetve, a beállított portszám; kilépés: CTRL-5, ENTER, quit

Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
</pre>
''Megjegyzés:'' a fenti beállításokkal a gSTM az alábbihoz hasonló parancsot futtat a háttérben:
<pre>ps aux | grep ssh # keressük meg a futó folyamatok között

[...] ssh fileserver.mydomain.com -p 22 -i ~/Security/Keys/smbNNNNN_AT_fileserver.mydomain.com-nopass -l smbNNNNN -nN -L44445:localhost:445</pre>
Hiba esetén a fenti parancssor teminál ablakban történő elindításával az esetleges hibaüzenetek megtekinthetőek.

Siker esetén indítsuk el a Nautilust (Fájlok ikon), és CTRL-L után navigáljunk az ''smb://USERNAME@1ocalhost:44445/'' helyre (ahol USERNAME a Samba/Windows felhasználónév - ''smbm'' használata esetén ''vezetknev.keresztnev alakú'')! A Samba/Windows authentikációt érdemes(?) örökre megjegyeztetnünk a Nautilussal; ezután a távoli Samba szerver megosztásai tallózhatóak. Érdemes lehet a felhasználó számára releváns megosztásokat a Nautilusban könyvjelzőzni.

==Irodalom==
* [http://ubuntuforums.org/showthread.php?t=1455881 Multiple loopback interfaces] (Ubuntu Forums)

Samba tunnel beállítása smbm-hez (Ubuntu) - Laptörténet

KZoli: Új oldal, tartalma: „Ebben a leírásban SSH-tunnelezett kapcsolatot állítunk be Ubuntu 16.04 LTS (desktop vagy notebook) munkaállomásról egy (távoli) Samba szerverre, amelyet elsőso…”