Смешанная локальная сеть, компьютеры под управлением Windows 7, ПСПО 5.0.4 и Edubuntu 12.04.1 Gnome, школьный сервер ALTLinux 4.1. Документооборот по самба-протоколу.

Школьные документы у нас условно разделены на три категории, простые файлы - перекрестный обмен между пользователями, служебные файлы - обмен через сервер и особо "секретные" - по шифрованным каналам между различными организациями, туда мы вмешиваться не будем :).

Для обмена обычными файлами необходимо на каждом линукс-компьютере иметь установленный самба-сервер и самба-клиент, кроме того, папку общего доступа, опубликованную в сети. В ПСПО 5.0.4 полная самба установлена изначально, в edubuntu 12.04.1 - только клиент, но при расшаривании папки, система предлагает установить сервер - соглашаемся. В этих дистрибутивах используется samba3, в которой появилась возможность создавать папки общего доступа обычному пользователю непосредственно в файловом менеджере, в samba2 это мог делать только администратор, прописывая все настройки в файле /etc/samba/smb.conf непосредственно, или с помощью графической оболочки swat. Процесс расшаривания любой папки в пределах домашнего каталога пользователя идентичен для файловых менеджеров наших дистрибутивов. Для edubuntu: Переход - Домашняя папка - например, папка Общие - клик правой кнопкой - Свойства - Общий доступ - для полного доступа ставим все галочки. Nautilus, при этом, используя консольную утилиту net usershare, создает для этой папки настроечный файл /var/lib/samba/usershares/Общие следующего вида:

#VERSION 2
path=/home/user/Общие
comment=
usershare_acl=S-1-1-0:F   # права доступа, в нашем случае - полный доступ любому пользователю (F - Full).
guest_ok=y                       # разрешен гостевой доступ, без ввода пароля.
sharename=Общие

С помощью утилиты net usershare с ключами add, delete, info, list можно также управлять своими ресурсами непосредственно в командной строке. При подобном расшаривании ресурсов, главный конфигурационный файл /etc/samba/smb.conf остается неизменным, поскольку пользователь доступа туда не имеет. Права же доступа usershare распространяются только на папку, без рекурсии. И здесь мы столкнулись с проблемой, в папке с полным доступом иногда стали появляться файлы, которые не открываются, не удаляются. Иногда система запрашивает пароль при разрешенном гостевом доступе. Не зная хорошо внутренностей, довольно тяжело определить причину болезни. Оставим это на совести разработчиков. Предположив, что главный все-таки smb.conf, спрятали его и подставили свой:

[global]
    dos charset = CP866
    unix charset = UTF8
    display charset = LOCALE
    workgroup = WORKGROUP
    log file = /var/log/samba/log.%m
    max log size = 50
#
    writable = yes
    browseable = yes
    guest ok = yes                          # разрешение гостевого доступа
    create mask = 0664                   # атрибуты файла
    directory mask = 0775                # атрибуты папки
    force user = user                       # пользователь
    force group = user                     # группа
#
    security = share
    usershare path = /var/lib/samba/usershares
    usershare max shares = 100
    usershare allow guests = yes
    usershare owner only = yes

Здесь мы еще раз подчеркнули разрешение гостевого доступа и определили постоянные атрибуты всех копируемых файлов и папок. Эта операция проводится с правами администратора. Мне нравится работать в mc, который устанавливается из репозитория, в edubuntu он по умолчанию не установлен. Запускаем sudo mc. Файл smb.conf копируем на все линукс-компьютеры. На windows-компьютерах настраивать пока ничего не надо.

Поскольку у нас нет dns-сервера и статическая адресация, для разрешения имен используем файл /etc/hosts - для линукс и C:\Windows\System32\drivers\etc\hosts - для windows, в котором прописываем соответствие ip-адресов и сетевых имен компьютеров, следующим образом:

192.168.10.05     dir
192.168.10.11     u1
192.168.10.51     zam1
192.168.10.163   t63 и т. д.

Затем этот файл копируется на все компьютеры сети в указанные выше места системы с правами администратора. Изначально он создается с большим запасом (чтобы очень долго не переписывать), учитывая все возможные должности и места расположения компьютеров ;). Я понимаю, это не профессиональное решение, но мы привыкли к определенной структуре нашей сети.

С линукс-компьютера подключение к удаленным ресурсам производим с помощью программы Gigolo, в ПСПО 5 установлена по умолчанию, в edubuntu - устанавливаем из репозитория. Запускаем программу, нажимаем кнопку Подключиться, выбираем тип службы - общая папка Windows, в строке Сервер указываем сетевое имя нужного компьютера, нажимаем синюю круговую стрелку справа, при этом определяются общие папки данного пользователя, нажав на кнопку с черным треугольником, выбираем необходимый ресурс и нажимаем кнопку Подключиться внизу справа. При этом ресурс автоматически монтируется в пользовательскую папку .gvfs и появляется в окне программы. Можно заходить. С windows-компьютера проще - Пуск - Компьютер - клик левой кнопкой мыши в верхней строке и вводим сетевое имя компьютера следующим образом - \\zam1\. Определяются общие папки, выбираем - Enter и мы на месте.

Обмен служебными файлами организован через внутренний школьный сервер с разграниченным доступом на базе ALTLinux 4.1. Он же используется для длительного хранения различной информации (электронная библиотека, фотоархив, видеотека и пр.). Самба-сервер в этом дистрибутиве установлен по умолчанию, место для документов - /var/lib/alterator/samba. Создаем проект нашего сервера - список пользователей с логинами и паролями, разбиваем всех пользователей на группы, определяем необходимые нам разделы, назначаем хозяина каждого раздела и определяем права доступа. Затем переносим все это на сервер, используя mc с правами администратора. В папке samba по указанному выше пути создаем разделы с соответствующими атрибутами ( у нас названия на кириллице, хотя не рекомендуется), главное, чтобы не было пробелов. Создаем определенные ранее группы пользователей командой groupadd [название группы]. Регистрировать пльзователей небходимо дважды, в системе и непосредственно на самба-сервере. Выполняем следующие команды для каждого пользователя:

useradd -s /sbin/nologin u1  # регистрируем пользователя u1 в системе
passwd u1                           # вводим пароль пользователя u1
smbpasswd -a u1                 # регистрируем пользователя на самба-сервере
smbpasswd -e u1                 # включаем пользователя
usermod -aG child u1           # определяем пользователя u1 в группу child

Заводим всех пользователей без права входа в систему (nologin), хозяйничать на сервере может только root, все остальные в разделах самба, согласно установленных полномочий.

Дальше начинается распределение этих самых полномочий путем прямого редактирования файла /etc/samba/smb.conf, ориентируясь на ранее составленный проект. Пример нашей конфигурации:

[global]
   workgroup = WORKGROUP
   netbios name = server
   server string =
   load printers = No
   log file = /var/log/samba/log.%m
   max log size = 50
   log level = 3
   hosts allow = 127. 192.168.10. 192.168.11.
   security = user
   unix password sync = Yes
   local master = No
#   os level = 64
   domain master = No
   preferred master = No
   domain logons = No
   wins support = No

[homes]
   comment = Home Directory for '%u'
   browseable = no
   writable = yes

[adm]
 path = /var/lib/alterator/samba/adm
    browseable = no
    writable = no
    valid users = @admin
    write list = @admin
    create mask = 0660
    directory mask = 0770
    force user = bid
    force group = admin

[Библиотека]
 path = /var/lib/alterator/samba/Библиотека
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = sham @admin
    create mask = 0644
    directory mask = 0755
    force user = sham
    force group = teacher

[Бухгалтер]
 path = /var/lib/alterator/samba/Бухгалтер
    browseable = yes
    writable = no
    valid users = @admin @boss
    write list = dlp setv @admin
    create mask = 0644
    directory mask = 0755
    force user = dlp
    force group = boss

[Видеостудия]
 path = /var/lib/alterator/samba/Видеостудия
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = btv @admin
    create mask = 0644
    directory mask = 0755
    force user = btv
    force group = teacher

[Воспитательная работа]
 path = /var/lib/alterator/samba/Воспитательная_работа
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss
    write list = fsv @admin
    create mask = 0644
    directory mask = 0755
    force user = fsv
    force group = teacher

[Директор]
 path = /var/lib/alterator/samba/Директор
    browseable = yes
    writable = no
    valid users = @admin @boss
    write list = klv @admin
    create mask = 0644
    directory mask = 0755
    force user = klv
    force group = boss

[Дополнительное образование]
 path = /var/lib/alterator/samba/Дополнительное_образование
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss
    write list = fsv @admin
    create mask = 0644
    directory mask = 0755
    force user = fsv
    force group = teacher

[Избранное]
 path = /var/lib/alterator/samba/Избранное
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = @admin
    create mask = 0644
    directory mask = 0755
    force user = bid
    force group = teacher

[Методика и инновации]
 path = /var/lib/alterator/samba/Методика_и_инновации
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss
    write list = siv @admin
    create mask = 0644
    directory mask = 0755
    force user = siv
    force group = teacher

[Охрана труда]
 path = /var/lib/alterator/samba/Охрана_труда
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss
    write list = pia @admin
    create mask = 0644
    directory mask = 0755
    force user = pia
    force group = teacher

[Предметы]
 path = /var/lib/alterator/samba/Предметы
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = @admin
    create mask = 0644
    directory mask = 0755
    force user = bid
    force group = teacher

[Прессцентр]
 path = /var/lib/alterator/samba/Прессцентр
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = lvf @admin
    create mask = 0644
    directory mask = 0755
    force user = lvf
    force group = teacher

[Психолог]
 path = /var/lib/alterator/samba/Психолог
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = kmn @admin
    create mask = 0644
    directory mask = 0755
    force user = kmn
    force group = teacher

[СПО]
 path = /var/lib/alterator/samba/СПО
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = @admin
    create mask = 0644
    directory mask = 0755
    force user = bid
    force group = teacher

[Секретарь]
 path = /var/lib/alterator/samba/Секретарь
    browseable = yes
    writable = no
    valid users = @admin @boss
    write list = shna @admin
    create mask = 0644
    directory mask = 0755
    force user = shna
    force group = boss

[Соболята и АУМ]
 path = /var/lib/alterator/samba/Соболята_и_АУМ
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = veg @admin
    create mask = 0644
    directory mask = 0755
    force user = veg
    force group = teacher

[Учебная работа]
 path = /var/lib/alterator/samba/Учебная_работа
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss
    write list = smn @admin
    create mask = 0644
    directory mask = 0755
    force user = smn
    force group = teacher

[Фотоархив]
 path = /var/lib/alterator/samba/Фотоархив
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = @admin
    create mask = 0644
    directory mask = 0755
    force user = bid
    force group = teacher

[Экзамены]
 path = /var/lib/alterator/samba/Экзамены
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = smn @admin
    create mask = 0644
    directory mask = 0755
    force user = smn
    force group = teacher

[Столовая]
 path = /var/lib/alterator/samba/Столовая
    browseable = yes
    writable = no
    valid users = @admin @boss
    write list = ulv @admin
    create mask = 0644
    directory mask = 0755
    force user = ulv
    force group = boss

Не буду подробно описывать значение каждой строки, думаю и так понятно. Обмен служебными документами, в основном, производится между директором, секретарем, бухгалтерией и столовой. Группа admin имеет полные права во всех разделах.

Хочу добавить, что для комфортного пользования библиотекой на edubuntu установили djview4, p7zip, p7zip-full, p7zip-rar. Подключили репозиторий - sudo add-apt-repository ppa:frol/zip-i18n и руссифицировали архиваторы. Кроме того, установили на firefox дополнение Fb2 Reader с оффициального сайта.

Небольшое дополнение. Для реализации выше описанного, вы можете использовать другие дистрибутивы, другую конфигурацию сети, программы удаленного доступа, программы для запуска определенного типа файлов, но ... Нам пришлось перебрать очень много вариантов. Основная проблема - кириллические названия папок, файлов. Все было более-менее нормально с офисным и графическим форматом, а музыка и видео - увы. Поскольку транслитерировать громадный объем информации (еще с севера win2003) нам не захотелось, да и пользователям не привычно, пришлось подбирать дистрибутивы и программы просмотра. В этом плане, наиболее приемлемым во всех отношениях получился ПСПО 5, несмотря на проблемы с внешним оборудованием, а потом мы добавили Edubuntu, с оболочкой Gnome.

Ирина, а зачем все эти ухищрения? Я не нашёл в Вашем сообщении ТЗ, только варианты применения различных программ для решения стандартных задач. У Вас есть задача совместной работы с документами и история версий? Если нет, то и к чему огород городить с самбой по всем компам?!

Попытаюсь пояснить примером:

Задачи:

1. Общие папки с шаблонами, общешекольной информацией и т.п., не секретной, не специфической (галерея фотографий шклоных мероприятий, например).

2. Обмен между пользователями сети конфиденциальными документами (желательно в реальном времени).

Решение:

1. Общая папка с правами для групп пользователей (например: учителям чтение-запись, ученикам - чтение).

2. Jabber-server OpenFire. Пересылает сообщения и файлы в реальном времени без хранения на сервере. Клиент -Vacuum. Если бы надо было в оффлайн отсылать, то почту бы поднял или имеющийся ftp-сервер FileZilla с собственным разграничением прав задействовал бы..... ну или теми же средствами виндового файл-сервера обошёлся бы, но извне его сложнее пробрасывать.

> ..а зачем все эти ухищрения?

Каждому свое. Одному openfire нравится, другому zimbra, третий - на базе pws предлагает. Выбор зависит от многих факторов. Я хотела показать, что сервер-самба можно использовать не только как файлопомойку, у нас это получилось, пользователи привыкли и потребности в чем-то другом пока нет.

Все документы должны храниться на СЕРВЕРЕ там же устанавливать права доступа. Расшаривать папки локальных компьютеров нонсенс.

Владимир, ну Вы так уж прямо девушке говорите..... ;)

> Расшаривать папки локальных компьютеров нонсенс.

Да ради бога. Я поделилась своим опытом, вы можете рассказать как у вас это устроено, глядишь начинающим жить легче станет. Кстати, если вы так категоричны, не могли бы пояснить, а зачем разработчики школьных дистрибутивов по умолчанию создают папки "Общедоступные" и опять же по умолчанию устанавливают сервер и клиент? Видимо предполагают необходимость, и я их только приветствую. 

> Расшаривать папки локальных компьютеров нонсенс.

Не нонсенс.

Например у меня есть куча компов, которые я расшарил зеркально. Т.е. к примеру на 2 ученических машинах синхронно лежат видеоданные. Хорошо и с точки зрения зеркалирования (безопасности хранения) и с точки зрения снижения нагрузки на сервак. Если есть много компов, то удобно использовать всё пространство. Например, север вклчен постоянно, а иные даные подаются в рабочее время, как описанное ранее видео.

Понятие сервера и то, что на нём ДОЛЖНО храниться - дело каждого.

http://ru.wikipedia.org/wiki/Одноранговая_сеть

Нонсенс ...

Не надо изобретать велосипед. Существуют стандартные, опробованные схемы. 

"Например у меня есть куча компов, которые я расшарил зеркально. Т.е. к примеру на 2 ученических машинах синхронно лежат видеоданные. Хорошо и с точки зрения зеркалирования (безопасности хранения) и с точки зрения снижения нагрузки на сервак. Если есть много компов, то удобно использовать всё пространство. Например, север вклчен постоянно, а иные даные подаются в рабочее время, как описанное ранее видео." -

напоминает записки школьника начинающего изучать информатику. Для "безопасности хранения" (не знаю что означает сей термин, но догадываюсь) существуют рейд массивы и правильно настроенная политика резервного копирования. 

" а иные даные подаются в рабочее время" - Просто шедевр (извините не удержался ...)

Виталий Викторович Ильиных писал(а):

Я не иду протоптанными путями, я использую свои методы, которые удобны для меня, а не для стандартных людей со стандартными решениями.

У вас свои велосипедные методы, у меня свои. Как говорится, я поделился.

Предлагаю предложить что-то своё.

Аплодирую стоя ... Куда нам простым сисадминам обремененными 25-ти летним опытом и почти десятком сертификатов (пардон майкрософта, так нелюбимиго здесь, хотя протокол TCP/IP он и в африке ... и еще кое кого). 

Владимир Филенков, Михаил Цалевич Виталий Викторович Ильиных не привел способы, которыми он добивается того, о чем пишет. Тем более, Владимир, Вам ли не знать, что можно монтировать блочные устройства по сети и создвать программный RAID из локальных и удалённых дисков.

в итоге нашего флуда, спасибо, кстати, за статью... подчерпнул кое-чего из конфига самбы для себя, ибо руки до неё не совсем дошли

Viktor, можно и колоноскопию перорально делать ;)

При создании массива "по сети" (повторяю) для нормальной работы требуется оптика. Иначе получитсяпросто поле для экспериментов. У Вас есть в школе оптика?

Михаил Цалевич писал(а):

сервер на П4-1Гб/2*500Гб дотупен в большинстве школ. "Президентские поставки" за последние 10 лет были несколько раз.

Михаил Цалевич писал(а):

Школа8, это "компьютеры учеников". А комп учителя - и с НТ и 2-ядерный С винтами можно было бы решить вопрос за это время.

Над Кагановским произведением смеялся тогда, в 90-х. Потом не смешно стало, ибо на технике и админах стали экономить,  и сказка стала былью.

Михаил Цалевич писал(а):

Конфигурация нашего лицея:

1. Контроллер домена, он же файловый сервер, он же DNS - HP xeon 4-х ядерный 8 Гб озу, загрузочные диски 250 Гб в зеркале, 2Тб под файлы - MS Server 2008

2. вторичный контроллер домена, он же файловый (для backup), внутренний школьный web - самосборный на серверном железе - xeon 4-х ядерный 4 Гб озу - диски 250 Гб, 1Тб, 2Тб MS Windows 2008

3. три сервера для трех учебных классов, поскольку все три класса на тонких клиентах в основном 8-ми ядерные Xeon 10-12 ГБ озу, 500 Гб HDD - MS Multipoint server

4. сервер для учебных классов (один на все 3 класса) - обычный комп. 4-х ядерный (Core2Quard) 8 Гб озу 500 Гб HDD - Ubuntu 10.04 - ученики при включении тонких клиентов могут приконнектиться

    либо к Microsoft либо к Ubuntu, но в основном работаем в Windows, хотя выбор свободный тот же Lasarus есть и там и там, Office 2010 или OpenOffice, Photoshop  или ... ну и т.д.

5. Интернет шлюз - Ideco на базе линукса (интернет, контентный фильтр, антивирус (на входящий трафик), статистика)

6. Тонкие клиенты NComputing L300 в 3-х классах 14+14+12 штук (ничего не жужит - в классе тишина ...)

7. Мобильные классы (на ноутбуках) - 3 штуки по 15 ноутов в каждом. (1 старенький - 6 лет ему, 2 поновее - 15 ноутов HP (покупали сами) и 15 нетбуков на atom - подарок от гос-ва)

8. рабочие компьютеры учителей  во ВСЕХ кабинетах - полный разнобой от P4 до i5 - около 80 ти штук (sic!)

9. ну и так по мелочи - учительская, завучи, столовая,актовый зал, etc

Все данные хранятся на СЕРВЕРЕ, с настроенным бэкапом с разграничением доступа. Всем учителям популярно объясняю, что отвечаю за сохранность данных только на сервере - данные на личных компьютерах учителей на них самих.

Основные магистральные линии - 1Гбит, по этажу - 100 Мб, почти всю школу охватывает защищенная Wi-Fi сеть (для удобства) + на 1 этаже в вестибюле свободный Wi-Fi для учеников.

Поскольку развернута Active Directory (для тех, кто не в курсе) централизованное управление учетными записями пользователей поэтому любой пользователь работает под СВОЕЙ учетной записью на любом компьютере сети во избежание ...

Количество принтеров - около 60-ти, 10 интерактивных досок, порядка 50-ти проекторов

Все сервера в стойках (в серверной с кондиционерами, UPS и т.д. и 1 стойка на 1 этаже - 2 сервера и свич)

Ну вот как то так вкраце. Обслуживаю все это я один, по совместительству, у меня еще 3 официальных места работы.

Учителя информатики - учат детей никуда не лезут - что надо говорят мне.

Ну и на последок из 4-х прподавателей информатики - 3 закончили нормальных технический ВУЗ (УПИ), причем 2 из них радиотехнический факультет

(а с одной из них мы учились в одной группе) И немного лирики, Свою первую программу я написал в 8 классе в 1977 году. Когда многих изобретателей

велосипедов еще в проекте не было. И с тех пор занимаюсь компьютерами. Я их чинил (ЕС ЭВМ СМ ЭВМ), затем с эпохой персоналок чинить особо нечего стало

стал сис админом и программистом - работал на крупных промышленных предприятиях, банках (пытались когда нибудь администрировать сеть на несколько десятков городов ?

- это я все полемизирую с любителями непроторенных дорог). Это я все к чему ? На военной кафедре, где мы изучали зенитно-ракетный комплекс, все учебники назывались

"Основы построения ..." того то и того то. То есть предметы разные, но начинаются все названия одинаково - Основы построения. Неплохо иным товарищам почитать ОСНОВЫ построения ...

Простите за много букоф, но накипело.

Да - забыл - интернет - оптоволокно 16 Мбит

Шикарно... похвалились ;)

> ну и так по мелочи - учительская, завучи, столовая,актовый зал, etc

А в туалете у вас случайно нет? :))) А у нас есть, могу даже фото предоставить, пару лет назад у нас там располагалась серверная, с межэтажной разводкой сети  по трубам канализации, а сейчас особо охраняемый пункт связи с электронным правительством (это чтобы никто не догадался :)).

Ребята, кажется вы увлеклись, разборки выбиваются из темы. Если есть желание продолжить, я с удовольствием поучавствую, в "Свободном общении".