~mistrynitesh/kubuntu-docs/fixes-two-bugs

"http://www.oasis-open.org/docbook/xml/4.3/docbookx.dtd" [

<article id="sharing" status="draft">

This document explains how to share files between Kubuntu and Windows.

<para>

Computer networks are often comprised of diverse systems, and while operating a network

made up entirely of Kubuntu desktop and server computers would certainly be fun, some network environments

must consist of both Kubuntu and <trademark class='registered'>Microsoft</trademark> 

<trademark class='registered'>Windows</trademark> systems working together in harmony.  

This section of the &kubuntu; &sg-title; introduces principles and tools used in 

configuring your Kubuntu Server for sharing network resources with Windows computers.

</para>

 

<sect1 id="windows-networking-introduction" status="draft">

Successfully networking your Kubuntu system with Windows clients involves providing and integrating with services 

common to Windows environments. Such services assist the sharing of data and information about the computers 

and users involved in the network, and may be classified under three major categories of functionality:

<emphasis role="bold">File and Printer Sharing Services</emphasis>. Using the Server Message Block (SMB) 

protocol to facilitate the sharing of files, folders, volumes, and the sharing of printers throughout the network.

<emphasis role="bold">Directory Services</emphasis>. Sharing vital information about the computers and users of 

the network with such technologies as the Lightweight Directory Access Protocol (LDAP) and Microsoft

<emphasis role="bold">Authentication and Access</emphasis>. Establishing the identity of a computer or user of 

the network and determining the information the computer or user is authorized to access using such principles 

and technologies as file permissions, group policies, and the Kerberos authentication service.

Fortunately, your Kubuntu system may provide all such facilities to Windows clients and share network resources 

among them.  One of the principal pieces of software your Kubuntu system includes for Windows networking is the Samba 

suite of SMB server applications and tools.  

This section of the &kubuntu; &sg-title; will introduce some of the common Samba use cases, and how to 

install and configure the necessary packages.  Additional detailed documentation and information on Samba can be found

</sect1>

<sect1 id="samba-fileserver" status="draft">

One of the most common ways to network Kubuntu and Windows computers is to configure Samba as a File Server.  This section 

covers setting up a <application>Samba</application> server to share files with Windows clients.

The server will be configured to share files with any client on the network without prompting for a password.  If

your environment requires stricter Access Controls see <xref linkend="samba-fileprint-security"/>

<sect2 id="samba-fileserver-installation" status="draft">

That's all there is to it; you are now ready to configure Samba to share files.

<sect2 id="samba-fileserver-configuration" status="draft">

The main Samba configuration file is located in <filename>/etc/samba/smb.conf</filename>.  The default configuration file

has a significant amount of comments in order to document various configuration directives.  

First, edit the following key/value pairs in the <emphasis>[global]</emphasis> section of 

<filename>/etc/samba/smb.conf</filename>:

The <emphasis>security</emphasis> parameter is farther down in the [global] section, and is commented by default.

Also, change <emphasis>EXAMPLE</emphasis> to better match your environment.  

Create a new section at the bottom of the file, or uncomment one of the examples, for the directory to be shared:

<emphasis>comment:</emphasis> a short description of the share.  Adjust to fit your needs.

This example uses <filename>/srv/samba/sharename</filename> because, according to the 

<emphasis>Filesystem Hierarchy Standard (FHS)</emphasis>, 

<ulink url="http://www.pathname.com/fhs/pub/fhs-2.3.html#SRVDATAFORSERVICESPROVIDEDBYSYSTEM">/srv</ulink>

is where site-specific data should be served.  Technically Samba shares can be placed anywhere on the filesystem

as long as the permissions are correct, but adhering to standards is recommended.

</para>

</listitem>

<listitem>

<para>

<emphasis>browsable:</emphasis> enables Windows clients to browse the shared directory using 

<application>Windows Explorer</application>.

</para>

</listitem>

<listitem>

<para>

<emphasis>guest ok:</emphasis> allows clients to connect to the share without supplying a password.

<emphasis>create mask:</emphasis> determines the permissions new files will have when created.

Now that <application>Samba</application> is configured, the directory needs to be created and the permissions

changed.  From a terminal enter:

The <emphasis>-p</emphasis> switch tells mkdir to create the entire directory tree if it doesn't exist.  Change the 

share name to fit your environment. 

Once again, the above configuration gives all access to any client on the local network.  For a more secure

configuration see <xref linkend="samba-fileprint-security"/>.

From a Windows client you should now be able to browse to the Kubuntu file server and see the shared directory.  To 

check that everything is working try creating a directory from Windows. 

To create additional shares simply create new <emphasis>[dir]</emphasis> sections in 

<filename>/etc/samba/smb.conf</filename>, and restart <emphasis>Samba</emphasis>.  Just make sure that the directory

you want to share actually exists and the permissions are correct.

<sect2 id="samba-fileserver-resources" status="draft">

O'Reilly's <ulink url="http://www.oreilly.com/catalog/9780596007690/">Using Samba</ulink> is another good

reference.

<sect1 id="samba-fileprint-security" status="draft">

<sect2 id="samba-security-mode" status="draft">

There are two security levels available to the Common Internet Filesystem (CIFS) network protocol 

<emphasis>user-level</emphasis> and <emphasis>share-level</emphasis>.  Samba's <emphasis>security mode</emphasis>

implementation allows more flexibility, providing four ways of implementing user-level security and one way to 

implement share-level:

<emphasis>security = user:</emphasis> requires clients to supply a username and password to connect to shares. 

Samba user accounts are separate from system accounts, but the <application>libpam-smbpass</application> 

package will sync system users and passwords with the Samba user database.

<emphasis>security = domain:</emphasis> this mode allows the Samba server to appear to Windows clients as a Primary

Domain Controller (PDC), Backup Domain Controller (BDC), or a Domain Member Server (DMS).  See 

<emphasis>security = ADS:</emphasis> allows the Samba server to join an Active Directory domain as a native

member.  See <xref linkend="samba-ad-integration"/> for details.

</para>

</listitem>

<listitem>

<para>

<emphasis>security = server:</emphasis> this mode is left over from before Samba could become a member server, and 

due to some security issues should not be used.  See the 

<ulink url="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/ServerType.html#id349531">Server Security</ulink>

section of the Samba guide for more details.

</para>

</listitem>

<listitem>

<para>

<emphasis>security = share:</emphasis> allows clients to connect to shares without supplying a username and 

password.

The security mode you choose will depend on your environment and what you need the Samba server to accomplish.

<sect2 id="samba-user-security" status="draft">

This section will reconfigure the Samba file and print server, from <xref linkend="samba-fileserver"/> and the

<ulink type="help" url="help:/kubuntu/printing/"> Print Server</ulink>, to require authentication.

First, install the <application>libpam-smbpass</application> package which will sync the system users to the Samba

user database:

If you chose the <emphasis>Samba Server</emphasis> task during installation <application>libpam-smbpass</application>

is already installed.

Edit <filename>/etc/samba/smb.conf</filename>, and in the <emphasis>[share]</emphasis> section change:

Now when connecting to the shared directories or printers you should be prompted for a username and password.  

If you choose to map a network drive to the share you can check the <quote>Reconnect at Logon</quote> check 

box, which will require you to only enter the username and password once, at least until the password changes.

<sect2 id="samba-share-security" status="draft">

There are several options available to increase the security for each individual shared directory.  Using the 

<emphasis>[share]</emphasis> example, this section will cover some common options.

<sect3 id="windows-networking-groups" status="draft">

Groups define a collection of computers or users which have a common level of access to particular network 

resources and offer a level of granularity in controlling access to such resources.  For example, if a group 

<emphasis role="italic">qa</emphasis> is defined and contains the users <emphasis role="italic">freda</emphasis>,

<emphasis role="italic">danika</emphasis>, and <emphasis role="italic">rob</emphasis> and a second group

<emphasis role="italic">support</emphasis> is defined and consists of users <emphasis role="italic">danika</emphasis>,

<emphasis role="italic">jeremy</emphasis>, and <emphasis role="italic">vincent</emphasis> then certain network 

resources configured to allow access by the <emphasis role="italic">qa</emphasis> group will subsequently enable 

access by freda, danika, and rob, but not jeremy or vincent.  Since the user <emphasis role="italic">danika</emphasis>

belongs to both the <emphasis role="italic">qa</emphasis> and <emphasis role="italic">support</emphasis> groups, she

will be able to access resources configured for access by both groups, whereas all other users will have only access 

to resources explicitly allowing the group they are part of.

By default Samba looks for the local system groups defined in <filename>/etc/group</filename> to determine which users

belong to which groups.  For more information on adding and removing users from groups see 

When defining groups in the Samba configuration file, <filename>/etc/samba/smb.conf</filename>, the recognized syntax 

is to preface the group name with an "@" symbol.  For example, if you wished to define a group named 

<emphasis role="italic">sysadmin</emphasis> in a certain section of the <filename>/etc/samba/smb.conf</filename>, 

you would do so by entering the group name as <emphasis role="bold">@sysadmin</emphasis>.

<sect3 id="samba-file-permissions" status="draft">

File Permissions define the explicit rights a computer or user has to a particular directory, file, or set of

files.  Such permissions may be defined by editing the <filename>/etc/samba/smb.conf</filename> file and specifying

the explicit permissions of a defined file share.

For example, if you have defined a Samba share called <emphasis>share</emphasis> and wish to give 

<emphasis role="italic">read-only</emphasis> permissions to the group of users known as 

<emphasis role="italic">qa</emphasis>, but wanted to allow writing to the share by the group called 

<emphasis role="italic">sysadmin</emphasis> and the user named <emphasis role="italic">vincent</emphasis>, 

then you could edit the <filename>/etc/samba/smb.conf</filename> file, and add the following entries under 

the <emphasis>[share]</emphasis> entry:

Another possible Samba permission is to declare <emphasis>administrative</emphasis> permissions to a

particular shared resource.  Users having administrative permissions may read, write, or modify any information

contained in the resource the user has been given explicit administrative permissions to.

For example, if you wanted to give the user <emphasis role="italic">melissa</emphasis> administrative permissions to

the <emphasis role="italic">share</emphasis> example, you would edit the 

<filename>/etc/samba/smb.conf</filename> file, and add the following line under the 

<emphasis>[share]</emphasis> entry:

For the <emphasis>read list</emphasis> and <emphasis>write list</emphasis> to work the Samba security mode

must <emphasis>not</emphasis> be set to <emphasis role="italic">security = share</emphasis>

Now that Samba has been configured to limit which groups have access to the shared directory, the filesystem permissions

need to be updated.

Traditional Linux file permissions do not map well to Windows NT Access Control Lists (ACLs).  Fortunately POSIX ACLs

are available on Kubuntu servers providing more fine grained control.  For example, to enable ACLs on  

<filename>/srv</filename> an EXT3 filesystem, edit <filename>/etc/fstab</filename> adding the 

<emphasis>acl</emphasis> option:

UUID=66bcdd2e-8861-4fb0-b7e4-e61c569fe17d /srv  ext3    noatime,relatime,acl 0       1

or wherever you have configured your share path, is part of the <filename>/</filename> partition a reboot may be 

required.

To match the Samba configuration above the <emphasis>sysadmin</emphasis> group will be given read, write, and execute

permissions to <filename>/srv/samba/share</filename>, the <emphasis>qa</emphasis> group will be given read and execute

permissions, and the files will be owned by the username <emphasis>melissa</emphasis>.  Enter the following in a 

terminal:

The <application>setfacl</application> command above gives <emphasis>execute</emphasis> permissions to all files in

the <filename>/srv/samba/share</filename> directory, which you may or may not want.

Now from a Windows client you should notice the new file permissions are implemented.  See the 

<application>acl</application> and <application>setfacl</application> man pages for more information on POSIX ACLs.

<sect2 id="samba-apparmor" status="draft">

Kubuntu comes with the <application>AppArmor</application> security module, which provides mandatory access controls.

The default AppArmor profile for Samba will need to be adapted to your configuration.  For more details on using

AppArmor please refer to the<ulink url="https://help.ubuntu.com/community/AppArmor"> wiki</ulink>

There are default AppArmor profiles for <filename>/usr/sbin/smbd</filename> and <filename>/usr/sbin/nmbd</filename>, the

Samba daemon binaries, as part of the <application>apparmor-profiles</application> packages.  To install the package,

from a terminal prompt enter:

By default the profiles for <application>smbd</application> and <application>nmbd</application> are in 

<emphasis>complain</emphasis> mode allowing Samba to work without modifying the profile, and only logging errors.

To place the <application>smbd</application> profile into <emphasis>enforce</emphasis> mode, and have Samba work as 

expected, the profile will need to be modified to reflect any directories that are shared.

Edit <filename>/etc/apparmor.d/usr.sbin.smbd</filename> adding information for <emphasis>[share]</emphasis> from the

file server example:

You should now be able to read, write, and execute files in the shared directory as normal, and the

<application>smbd</application> binary will have access to only the configured files and directories.  

Be sure to add entries for each directory you configure Samba to share.  Also, any errors will be logged

to <filename>/var/log/syslog</filename>.  

<sect2 id="samba-security-resources" status="draft">

For in depth Samba configurations see the 

O'Reilly's <ulink url="http://www.oreilly.com/catalog/9780596007690/">Using Samba</ulink> is also a good

reference.

</para>

</listitem>

<listitem>

<para>

<ulink url="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/securing-samba.html">Chapter 18</ulink> 

of the Samba HOWTO Collection is devoted to security.

</para>

</listitem>

<listitem>

<para>

For more information on Samba and ACLs see the

<sect1 id="samba-dc" status="draft">

Although it cannot act as an Active Directory Primary Domain Controller (PDC), a Samba server can be configured to

appear as a Windows NT4-style domain controller.  A major advantage of this configuration is the ability to centralize 

user and machine credentials.  Samba can also use multiple backends to store the user information.

<sect2 id="samba-pdc-smbpasswd" status="draft">

This section covers configuring Samba as a Primary Domain Controller (PDC) using the default smbpasswd backend.

First, install Samba, and <application>libpam-smbpass</application> to sync the user accounts,

by entering the following in a terminal prompt:

Next, configure Samba by editing <filename>/etc/samba/smb.conf</filename>. 

The <emphasis>security</emphasis> mode should be set to <emphasis role="italic">user</emphasis>, and

the <emphasis>workgroup</emphasis> should relate to your organization:

In the commented <quote>Domains</quote> section add or uncomment the following:

<emphasis>domain logons:</emphasis> provides the netlogon service causing Samba to act as a domain controller.

<emphasis>logon path:</emphasis> places the user's Windows profile into their home directory.  It is also

possible to configure a <emphasis>[profiles]</emphasis> share placing all profiles under a single directory.

<emphasis>logon script:</emphasis> determines the script to be run locally once a user has logged in.

The script needs to be placed in the <emphasis>[netlogon]</emphasis> share. 

<emphasis>add machine script:</emphasis> a script that will automatically create the 

<emphasis>Machine Trust Account</emphasis> needed for a workstation to join the domain.

In this example the <emphasis>machines</emphasis> group will need to be created using the 

<application>addgroup</application> utility see <ulink type="help" url="help:/kubuntu/basics/"> Basics</ulink> for details.

If you wish to not use <emphasis>Roaming Profiles</emphasis> leave the <emphasis>logon home</emphasis>

and <emphasis>logon path</emphasis> options commented.

Uncomment the <emphasis>[homes]</emphasis> share to allow the <emphasis role="italic">logon home</emphasis>

to be mapped:

When configured as a domain controller a <emphasis>[netlogon]</emphasis> share needs to be configured.  To 

enable the share, uncomment:

The original <emphasis>netlogon</emphasis> share path is <filename>/home/samba/netlogon</filename>, but according 

to the Filesystem Hierarchy Standard (FHS), 

<ulink url="http://www.pathname.com/fhs/pub/fhs-2.3.html#SRVDATAFORSERVICESPROVIDEDBYSYSTEM">/srv</ulink> is the 

correct location for site-specific data provided by the system.

Now create the <filename role="directory">netlogon</filename> directory, and an empty (for now) 

<filename>logon.cmd</filename> script file:

You can enter any normal Windows logon script commands in <filename>logon.cmd</filename> to customize the

client's environment.

With <emphasis>root</emphasis> being disabled by default, in order to join a workstation to the domain, a system

group needs to be mapped to the Windows <emphasis>Domain Admins</emphasis> group.  

Using the <application>net</application> utility, from a terminal enter:

<command>sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d</command>

Change <emphasis role="italic">sysadmin</emphasis> to whichever group you prefer.  Also, the user

used to join the domain needs to be a member of the <emphasis>sysadmin</emphasis> group, as well 

as a member of the system <emphasis>admin</emphasis> group.  The <emphasis>admin</emphasis> group allows 

You should now be able to join Windows clients to the Domain in the same manner as joining them to an 

NT4 domain running on a Windows server.

<sect2 id="samba-bdc-smbpasswd" status="draft">

With a Primary Domain Controller (PDC) on the network it is best to have a Backup Domain Controller (BDC) as well.

This will allow clients to authenticate in case the PDC becomes unavailable.

</para>

 

<para>

When configuring Samba as a BDC you need a way to sync account information with the PDC.  There are multiple ways of 

accomplishing this <application>scp</application>, <application>rsync</application>, or by using <application>LDAP</application> as

the <emphasis>passdb backend</emphasis>.

</para>

 

<para>

Using LDAP is the most robust way to sync account information, because both domain controllers can use the same information in real time.

However, setting up a LDAP server may be overly complicated for a small number of user and computer accounts.  

See Samba<ulink url="http://wiki.samba.org/index.php/Samba_&amp;_LDAP"> LDAP</ulink> page for details.

Now, edit <filename>/etc/samba/smb.conf</filename> and uncomment the following in the <emphasis>[global]</emphasis>:

<emphasis>admin</emphasis> group to <application>scp</application> the files, enter:

Next, sync the user accounts, using <application>scp</application> to copy the <filename>/var/lib/samba</filename> 

directory from the PDC:

Replace <emphasis>username</emphasis> with a valid username and <emphasis>pdc</emphasis> with the hostname or IP Address of your

actual PDC. 

You can test that your Backup Domain controller is working by stopping the Samba daemon on the PDC, then trying to login to a 

Windows client joined to the domain.

Another thing to keep in mind is if you have configured the <emphasis>logon home</emphasis> option as a directory on the PDC,

and the PDC becomes unavailable, access to the user's <emphasis>Home</emphasis> drive will also be unavailable.  For this reason

it is best to configure the <emphasis>logon home</emphasis> to reside on a separate file server from the PDC and BDC.

<sect2 id="samba-dc-resources" status="draft">

O'Reilly's <ulink url="http://www.oreilly.com/catalog/9780596007690/">Using Samba</ulink> is also a good

reference.

</para>

</listitem>

<listitem>

<para>

<ulink url="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/samba-pdc.html">Chapter 4</ulink> 

of the Samba HOWTO Collection explains setting up a Primary Domain Controller.

</para>

</listitem>

<listitem>

<para>

<ulink url="http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/samba-bdc.html">Chapter 5</ulink> 

of the Samba HOWTO Collection explains setting up a Backup Domain Controller.

<sect2 id="ad-integration-samba-share" status="draft">

Another, use for Samba is to integrate into an existing Windows network.  Once part of an Active Directory domain,

Samba can provide file and print services to AD users.

The simplest way to join an AD domain is to use <application>Likewise-open</application>.  For detailed instructions

see <xref linkend="likewise-open"/>.

<filename>secrets.tdb</filename> files, a symlink will need to be created in <filename role="directory">/var/lib/samba</filename>:

You should now be able to access any <application>Samba</application> shares from a Windows client.  However, be sure to give

the appropriate AD users or groups access to the share directory.  See <xref linkend="samba-fileprint-security"/> for 

<sect2 id="ad-integration-windows-share" status="draft">

Now that the Samba server is part of the Active Directory domain you can access any Windows server shares:

To mount a Windows file share enter the following in a terminal prompt:

It is also possible to access shares on computers not part of an AD domain, but a username and password 

will need to be provided.

To mount the share during boot place an entry in <filename>/etc/fstab</filename>, for example:

Another way to copy files from a Windows server is to use the <application>smbclient</application> utility.  To 

list the files in a Windows share:

The <emphasis>-c</emphasis> option used above allows you to execute the <application>smbclient</application> command

all at once.  This is useful for scripting and minor file operations.  To enter the <emphasis>smb: \&gt;</emphasis>

prompt, a FTP like prompt where you can execute normal file and directory commands, simply execute:

<emphasis>username=steve,password=secret</emphasis>, and <emphasis>file.txt</emphasis> with your server's IP, hostname, 

share name, file name, and an actual username and password with rights to the share.

<sect2 id="ad-integration-resources" status="draft">

For more <application>smbclient</application> options see the man page: <command>man smbclient</command>, also available

<ulink url="http://manpages.ubuntu.com/manpages/jaunty/en/man8/mount.cifs.8.html">man page</ulink> is also useful for 

more detailed information.

<sect1 id="likewise-open" status="draft">

<application>Likewise Open</application> simplifies the necessary configuration needed to authenticate a Linux machine to an

Active Directory domain.  Based on <application>winbind</application>, the <application>likewise-open</application> package

takes the pain out of integrating Kubuntu authentication into an existing Windows network.

<sect2 id="likewise-open-install" status="draft">

There are two ways to use Likewise Open, <application>likewise-open</application> the command line utility and 

<application>likewise-open-gui</application>.  This section focuses on the command line utility.

Starting with Kubuntu 9.04 <application>Likewise Open 5.0</application> is available in the <emphasis>Universe</emphasis> repository.  

However, since upgrading from <application>Likewise Open 4.1</application> currently requires the system to leave the 

domain and re-join, a separate package for version five was created.

Installing likewise-open5 over an existing likewise-open (4.1) installation will replace it. You will have to rejoin 

the domain after install.

<sect2 id="likewise-open-configuration" status="draft">

The main executable file of the <application>likewise-open</application> package is 

<filename>/usr/bin/domainjoin-cli</filename>, which is used to join your computer to the domain. Before you join 

a domain you will need to make sure you have:

The <emphasis>Fully Qualified Domain Name</emphasis> (FQDN) of the domain you want to join.  If your AD domain

does not match a valid domain such as <emphasis role="italic">example.com</emphasis>, it is likely that it has

the form of <emphasis>domainname.local</emphasis>.  

DNS for the domain setup properly.  In a production AD environment this should be the case.  Proper Microsoft 

DNS is needed so that client workstations can determine the Active Directory domain is available.

If you don't have a Windows DNS server on your network, see <xref linkend="likewise-open-ms-dns"/> for details.

Replace <emphasis>example.com</emphasis> with your domain name, and <emphasis>Administrator</emphasis> with the

appropriate user name.

You will then be prompted for the user's password.  If all goes well a <emphasis>SUCCESS</emphasis> message should be

printed to the console.

After successfully joining an Kubuntu machine to an Active Directory domain you can authenticate using any valid AD user.  

To login you will need to enter the user name as 'domain\username'. For example to ssh to a server joined to the domain

enter:

If configuring a Desktop the user name will need to be prefixed with <emphasis role="italic">domain\</emphasis> in the

graphical logon as well.

To make likewise-open use a default domain, you can add the following statement to <filename>/etc/samba/lwiauthd.conf</filename>:

Once configured for a <emphasis>default domain</emphasis> the <emphasis role="italic">'domain\'</emphasis> is no longer required, 

users can login using only their username.

The <application>domainjoin-cli</application> utility can also be used to leave the domain.  From a terminal:

<sect2 id="likewise-open-utilities" status="draft">

The <application>likewise-open</application> package comes with a few other utilities that may be useful for gathering

information about the Active Directory environment.  These utilities are used to join the machine to the domain, and are

the same as those available in the <application>samba-common</application> and <application>winbind</application> 

<application>lwiinfo</application>:  Displays information about various parts of the Domain.

<sect2 id="likewise-open-troubleshooting" status="draft">

If the client has trouble joining the domain, double check that the Microsoft DNS is listed first in <filename>/etc/resolv.conf</filename>.

When joining an Kubuntu Desktop workstation to a domain, you may need to edit <filename>/etc/nsswitch.conf</filename> if your AD domain 

uses the <emphasis role="italic">.local</emphasis> syntax.  In order to join the domain the <emphasis>"mdns4"</emphasis> entry should be removed from the