FreeNAS - 3

V dnešním díle budeme konfigurovat služby pro sdílení souborů, které FreeNAS poskytuje.

31.5.2010 00:00 | Radim Kolář | přečteno 12706×

FreeNAS - služby

V minulých dílech jsme se seznámili s instalací a jak se konfigurují ve FreeNASu raid pole a vytvářejí filesystémy. Nyní se podíváme na služby.

SMB/CIFS

Nejpoužívanějším protokolem při práce s NAS boxy je bezesporu SMB, dnes známý především pod jménem Síť Microsoft. Ve FreeNASu je SMB obsluhován starou známou Sambou, které je zastoupena verzí 3.0.37. Ačkoliv již v současnosti řada Samba 3.0 ustoupila v nově instalovaných systémech modernější 3.4, tak je to stále ještě nejpoužívanější řada Samby používaná v podnikových instalacích a je pod přátelskou GPLv2 licencí, novější Samby jsou pod GPLv3. Nevýhoda této řady jsou problémy s Windows 7 klienty, mně se tedy Windows 7 klienta oproti této řadě rozběhnout nepodařilo.

Microsoft odvedl opět vynikající práci aby donutil nejen uživatele Samby ale především starších verzích Windows Serveru k upgradu. Podobné taktiky provádí i s kancelářským balíkem Office kde soubory uložené novou verzí v režimu kompatibility čtou starší verze jen s obtížemi. Tuto taktiku provádí microsoft již přes 15 let a těžko se může pokaždé jednat o neúmyslnou chybu programátorů. Pro spolupráci Windows 7 a Samby potřebujete jednak upravit Windows registry a jednak aktualizaci samby jak se dočtete v oficiálním dokumentu supportu Microsoftu.

Pokud tedy chcete k FreeNAS připojovat Windows 7 musíte buďto počkat na novou verzi FreeNASu, která bude možná obsahovat novější Sambu nebo si novější Sambu přeložit svépomocí a nainstalovat ručně. Přeložení vlastní Samby je docela jednoduchá záležitost. Stačí si sehnat instalaci FreeBSD 7, tam si nainstalovat Sambu z portů a nainstalované soubory přenést na FreeNAS a přepsat jimi starou Sambu. V podstatě jedinou možností jak tuto instalaci provést je použití full instalace (nikoliv embedded) FreeNASu. Pokud budete spouštět FreeNAS z flashdisku, jak je doporučováno, poeditujte /etc/fstab a mountujte root filesystém s volbou noatime, aby se nezapisovalo na flashdisk zbytečně často.

Aktivaci poskytování souborových služeb přes SMB/CIFS provedeme v menu Services - CIFS.

Nastavení je jednoduché, standardní hodnoty povětšinou postačují. Upozornil bych jen na volbu

která zvětšuje paměťovou náročnost serveru a tak ji nepoužívejte pokud očekáváte desítky připojených uživatelů a nemáte dostatek RAM. Velikost volné paměti zjistíte v menu Status - System. Tento údaj musíte monitorovat zejména pokud používáte ZFS, protože při vyčerpání paměti modulem ZFS v jádře nastane kernel panic. Kernel Panic není u NAS zařízení zase taková tragédie, protože díky ZFS nepřijdete o data a ani není potřeba fsck. FreeNAS se sám restartuje a bude asi minutu a půl nedostupný. CIFS i NFS klienti umí obnovit přerušené spojení automaticky.

Z bezpečnostních důvodů nedovolte uživatelům přistupovat k účtům bez hesel, protože by tím mohli získat přístup i k některým systémovým účtům a tak vědomě či nevědomě narušit integritu systému.

Pokud máte nainstalován FreeNAS v místě kde k němu mají přístup jen důvěryhodní uživatelé tak je možné autentifikaci hesly vypnout. Tato možnost se používá v domácnostech nebo pokud je NAS instalován v pro malé pracovní skupiny a přístup zvenčí je odfirewalován nebo u jednotlivých sdílených adresářů omezujeme počítače, které se mohou připojit.

Po aktivaci Samba serveru už jen stačí nastavit jaké adresáře chceme sdílet. Zde neni víceméně co vysvětlovat, standardní volby postačují. Zaškrtnutí volby Enable recycle bin poměrně výrazně prodlouží dobu mazání souborů, pokud mažeme malé soubory. U Hosts allow/deny lze podrobněji nastavit které počítače se mohou připojit.

Autentifikace uživatelů

FreeNAS podpruje tři typy autentifikace uživatelů, která se nastavuje v menu Access. Nejsnadněji se používá autentifikace oproti Active Directory, což je adresářová služba společnosti Microsoft. Stačí vyplnit jen jméno AD serveru, ale naneštěstí k jejímu použití potřebujete znát administrátorské heslo AD domény. To často znemožňuje integraci s existující AD doménou, když se pracovní skupina rozhodne si nainstalovat FreeNAS pro sdílení souborů nezávisle na firemní IT strategii.

Další možností je autentifikace proti LDAP serveru, což bývá v podnikové praxi nadějnější zejména pokud LDAP server povoluje anonymous bind. Nastavení LDAP autentifikace ale není pro nezkušené uživatele, protože potřebujete znát řadu údajů.

Poslední a asi nejčastěji využívanou možností bude seznam uživatelů definovaný lokálně. Je škoda, že FreeNAS neumí poskytovat autentifikační služby ostatním, což by se hodilo pokud máte v síti více než jeden FreeNAS. Při definování uživatelů nejprve přidávejte skupiny a pak uživatele. Při zakládání uživatelů se dejte pozor na jejich login shell - scponly je nejlepší pokud nechcete aby uživatel měl přímý přístup do command promptu NASu.

Naopak je dobré dát uživatelům přístup do www rozhraní, protože tam přes něj mohou nahrávat soubory a měnit si heslo.

Autorizace

FreeNAS používá klasický unixový systém práv, ZFS nepodporuje ACL práva nastavované pomocí utility setfacl a UFS2 není s podporou ACL přeloženo. Taktéž verze Samby je příliš nízká na to aby ACL podporovala. Není to zase taková nevýhoda, jak by se na první pohled zdálo.

FTP

Povolení služby FTP je vždy diskutabilní. FTP je známo tím, že neposílá šifrovaná hesla. Pokud máme povoleno SSH a uživatelé mají shell scponly nebo lepší tak mohou používat SFTP, což je nejen bezpečnější, ale navíc umožňuje i kompresi přenášených dat. FTP server ve FreeNAS je luxusní záležitost, pokud se jej rozhodnete povolit rozhodně věnujte pozornost záložce modules, kde se dá nastavit zablokování uživatelů na určitou dobu při 10ti událostech - kupříkladu příliš spojení z jedné IP adresy, příliš chybných pokusů o přihlášení a podobně. FreeNAS tak může dokonale vykonávat funkci odolného anonymního FTP serveru.

NFS

Pokud připojujete k FreeNAS unixový systém těžko najdete lepší volbu než použití NFS protokolu. FreeNAS podporuje NFS verze 2 a 3 včetně rozšíření pro zamykání souborů. NFS verze 2 je již dávno zastaralá. Má limit 2 GB na soubor, nepodporuje cache na straně klienta a neměla by se dnes již používat. NFS se nastavuje vyloženě jednoduše, stačí jen nastavit počet NFS serverů a které adresáře chceme sdílet.

Pro připojení k NFS serveru není vyžadováno heslo a tak je nutné přístup k adresáři omezit podle IP adres klientů. NFS umí pracovat nad UDP i TCP protokoly. Já mám s provozováním nad TCP podstatně lepší zkušenosti, spojení nevypadává tak často. Dále mám rád volbu soft, protože při pádu spojení nebo NFS serveru programy nezůstávají viset.

Příklad připojení k NFS:

Pokud chceme připojit Ubuntu, musíme nejprve nainstalovat balíček nfs-client. Pak už jen ručně spustíme mount.nfs a dílo je hotovo. V našem konkrétním příkladě připojíme /mnt k adresáři /mnt/small na serveru 10.0.0.6

mount.nfs 10.0.0.6:/mnt/small /mnt -o soft,tcp

Online verze článku: http://www.linuxsoft.cz/article.php?id_article=1711