Samba: Интеграция Linux-сервера в Сеть Windows.

Широко признано, что операционная система Windows сохраняет доминирование среди клиентских рабочих станций. Однако на рынке серверных решений наблюдается иная картина, где операционные системы на базе Linux прочно закрепились в роли ключевых платформ для файловых серверов, серверов баз данных и серверов печати. Эта гибридная инфраструктура неизбежно требует эффективных механизмов взаимодействия между средой Windows и Linux.

Именно здесь пакет Samba становится де-факто стандартом. Samba представляет собой реализацию протокола Server Message Block (SMB), также известного как Common Internet File System (CIFS), которая позволяет Linux-серверу выступать в сети в качестве полноправного участника, способного предоставлять нативные файловые и печатные службы для Windows-клиентов. С момента своего создания протокол SMB претерпел значительную эволюцию, перейдя от устаревшего NetBIOS-основанного транспорта (SMBv1) к современным и высокопроизводительным версиям SMBv2 и SMBv3. Этот переход является критически важным для обеспечения как скорости передачи данных, так и соблюдения актуальных требований безопасности.  

Актуализация требований и обзор изменений в Samba 4.x+

Современные IT-требования диктуют отказ от устаревших и небезопасных практик, таких как использование протокола SMBv1 и аутентификация на уровне ресурса (security = share). Администраторам необходимо переориентировать конфигурацию Samba на использование современных стандартов, в первую очередь протокола Kerberos для единого входа (SSO) и обязательной подписи SMB-пакетов (SMB Signing).

Эти изменения особенно актуальны в свете последних обновлений клиентских операционных систем. Начиная с последних версий, таких как Windows 11 (24H2) и Windows Server 2025, Microsoft ввела требование обязательной подписи SMB для всех исходящих и входящих соединений по умолчанию. Это означает, что сервер Samba, настроенный без обязательной подписи SMBv3, может быть просто отвергнут современными Windows-клиентами.  

Использование устаревшего SMBv1 (через порты TCP 139 и UDP 137/138) создает серьезные уязвимости, делая сеть восприимчивой к атакам типа ретрансляции учетных данных (relay attacks) и Pass-the-Hash. Таким образом, обязательное требование для администратора — установить минимально допустимый протокол server min protocol на SMB2 или выше в файле smb.conf, чтобы обеспечить совместимость и гарантировать безопасность.  

Архитектура, установка и современные протоколы SMB

Ключевые службы Samba и их роль

Пакет Samba состоит из нескольких ключевых служб (демонов), каждая из которых выполняет свою специфическую задачу:

• smbd (SMB Daemon): Это основной демон. Он отвечает за обработку запросов клиентов, связанных с файловым доступом, печатью и аутентификацией. Все основные операции по разделению ресурсов (shares) осуществляются через smbd .
• nmbd (NetBIOS Name Daemon): Исторически этот демон обеспечивал службу имен NetBIOS (NMB), а также отвечал за сетевой браузинг и выборы главного браузера в рабочей группе. С переходом на современные протоколы SMBv2/v3, использующие DNS для разрешения имен, роль nmbd значительно снижается.  
• winbindd: Этот демон приобретает критическое значение в корпоративных средах. Он обеспечивает интеграцию с Active Directory (AD), выполняя маппинг идентификаторов безопасности Windows (SID) в локальные UID и GID Linux. winbindd использует службу Name Service Switch (NSS) для обеспечения прозрачной аутентификации доменных пользователей на Linux-сервере.  

Установка и управление

Установка Samba обычно начинается с проверки наличия пакета (whereis samba). Если пакет отсутствует, его устанавливают из стандартного репозитория дистрибутива. Как правило, требуются базовые пакеты (samba, samba-common-tools), а для интеграции с Active Directory — дополнительные пакеты, такие как samba-winbind и клиентские утилиты Kerberos (krb5-user).  

Управление службами в современных Linux-системах стандартизировано с использованием systemd. Для запуска и включения демона smb (или smbd) используются следующие команды:

sudo systemctl enable --now smb 
# либо
sudo systemctl enable --now smbd.service

Статус работы службы можно проверить командой systemctl status smb. Хотя устаревшие команды ( service smb start) могут быть функциональными, предпочтение отдается унифицированному подходу через systemctl.

Современные протоколы и обеспечение безопасности

Ключевым аспектом современной настройки Samba является полный отказ от использования SMBv1. Этот протокол обладает критическими недостатками безопасности. Современные версии Samba (начиная с версии 4.11.0) по умолчанию отключают SMBv1.  

Для явного закрепления этого требования и обеспечения использования современных, быстрых и безопасных протоколов, в секции [global] файла smb.conf следует установить минимально допустимую версию протокола:

[global]
server min protocol = SMB2_02 

Выбор SMB2_02 гарантирует совместимость со всеми современными клиентами Windows, начиная с Windows Vista и Server 2008, включая Windows 10/11 и Server 2025. Использование SMBv2 или SMBv3 не только повышает безопасность, но и критически увеличивает производительность файлового обмена благодаря улучшенному мультиплексированию и более эффективной обработке больших файлов.  

Дополнительной мерой безопасности является включение сквозного шифрования данных для протокола SMBv3. Это требование актуально для клиентов Windows 8/Server 2012 и новее:

[global]
smb encrypt = desired 

Параметр desired (желательно) указывает серверу, что шифрование должно использоваться, если клиент его поддерживает, делая трафик нечитаемым для сетевых перехватчиков.  

Базовая конфигурация: файл smb.conf

Общая структура и переменные

Конфигурационный файл Samba, расположенный обычно по адресу /etc/samba/smb.conf, организован в виде разделов, заключенных в квадратные скобки (например, [global], [homes]), содержащих параметры в формате ключ=значение.  

Одним из удобств Samba является то, что изменения в конфигурационном файле считываются демоном smbd автоматически (обычно каждые 60 секунд) и применяются к новым соединениям, не требуя полной перезагрузки службы. Однако для гарантированного применения изменений к текущим сеансам рекомендуется выполнить команду smbcontrol all reload-config.  

Файл smb.conf поддерживает использование переменных, которые заменяются реальными значениями после установки соединения, что обеспечивает высокую гибкость настройки. Например, для создания отдельного лог-файла для каждой клиентской машины можно использовать опцию log file = /var/log/samba/%m.log, где %m — это NetBIOS-имя клиента. Другие полезные переменные включают %a (ОС клиента), %u (имя пользователя) и %I (IP-адрес клиента).  

Секция [global]: идентификация и сетевые настройки

Секция [global] определяет общие характеристики сервера, применимые ко всем общим ресурсам, если они не переопределены локально.

Основы идентификации:

• workgroup = ИМЯ_ГРУППЫ (Рабочая группа или NetBIOS-имя домена Windows).
• netbios name = ИМЯ_СЕРВЕРА (Имя, под которым сервер виден в сети).
• server string = Комментарий (Описание сервера).

Настройка кодировок (Кириллица)

Исторически для корректного отображения кириллицы требовалась явная настройка кодовых страниц. В современных системах, где Linux по умолчанию использует кодировку UTF-8, основные проблемы с именами файлов решаются автоматически. Тем не менее, для обеспечения максимальной совместимости и поддержки старых клиентов, использующих кодовую страницу 866 (CP866), рекомендуется использовать следующие параметры:

[global]
unix charset = UTF-8
dos charset = CP866  
display charset = UTF-8

Начиная с более поздних версий, Samba по умолчанию сохраняет имена файлов в UTF-8, что является лучшей практикой для глобализации, в отличие от ранних версий, использовавших кодировки клиента.  

Ограничение сетевого доступа

Для повышения безопасности доступ к серверу должен быть ограничен определенными сетями или интерфейсами. Это достигается с помощью следующих параметров:

• interfaces = 192.168.1.0/24 lo: Указание IP-адресов или сетей, на которых должен работать демон.
• bind interfaces only = yes: Указывает серверу реагировать только на запросы, поступающие через перечисленные интерфейсы.
• hosts allow = 192.168.1. 127.: Разрешение доступа только для указанных подсетей. Если используется строгий запрет по умолчанию (hosts deny = ALL), необходимо явно включить loopback-интерфейс (127.), чтобы избежать отказа в сеансовых запросах от самого сервера.  

Настройка логирования и производительности

Логирование

Детальное логирование крайне важно для диагностики. Рекомендуется использовать переменные для создания отдельных лог-файлов для каждого клиента:

log file = /var/log/samba/%m.log
max log size = 10000 ; Максимальный размер 10 МБ

Параметр max log size обеспечивает ротацию лог-файлов, предотвращая переполнение диска.  

Оптимизация производительности (Performance Tuning)

Ряд параметров [global] может существенно повлиять на скорость работы:

• Кэширование: Включение getwd cache = yes позволяет кэшировать путь к текущему каталогу, предотвращая длительные обходы дерева каталогов и улучшая производительность.
• Опции сокета: Использование socket options = TCP_NODELAY IPTOS_LOWDELAY помогает снизить сетевую задержку, особенно в высоконагруженных сетях.  
• Синхронизация записи: По умолчанию Samba может быть настроена на сброс каждой записи на диск (sync always = yes), что обеспечивает высокую надежность при сбоях, но значительно снижает скорость. Для высокопроизводительных серверов с надежным хранилищем (журналируемая ФС, UPS) рекомендуется отключить эту опцию: sync always = no.  
• Использование sendfile: use sendfile = true позволяет ядру операционной системы эффективно передавать данные без избыточного копирования между буферами, что оптимизирует скорость чтения.  

Безопасность и управление доступом (актуальные практики)

Уровни безопасности Samba

Степень безопасности определяется параметром security в секции [global]:

• Уровень Ресурса (security = share): Устаревший, небезопасный метод, при котором пароль назначается ресурсу, а не пользователю. Данный режим не поддерживается в современных версиях Samba и Windows.
• Уровень Пользователя (security = user): Основной режим для автономных серверов. Аутентификация происходит на основе имени пользователя и пароля, хранящихся в отдельной базе данных Samba (smbpasswd).  
• Уровень Домена AD (security = ADS): Корпоративный стандарт. Сервер Samba выступает в качестве члена домена Active Directory (AD), используя протокол Kerberos для централизованной аутентификации.  

Обязательное требование: SMB Signing (подпись пакетов)

Подпись SMB (SMB Signing) является ключевым элементом защиты от критических атак, включая атаки ретрансляции и подмену данных. В связи с последними требованиями Microsoft, администраторам рекомендуется принудительно требовать подпись.

Конфигурация для обеспечения соответствия современным стандартам:

[global]
server signing = required

Установка server signing = required (требуется) гарантирует, что сервер будет принимать только подписанные пакеты. Это имеет важное следствие: функция гостевого доступа (guest fallback) автоматически отключается, поскольку гостевые пользователи не могут предоставить подписанный сеанс, что значительно повышает общую безопасность, требуя явной аутентификации.  

Интеграция с Active Directory (AD/Kerberos)

Интеграция с Active Directory через протокол Kerberos (режим ADS) позволяет реализовать критически важную функцию единого входа (SSO), что является неотъемлемым требованием современных корпоративных сред.  

Настройка AD в [global]

Для работы в режиме ADS необходимы следующие параметры:

[global]
security = ADS
realm = YOURDOMAIN.COM
workgroup = NETBIOS_DOMAIN_NAME  
kerberos method = secrets and keytab
ldap server require strong auth = yes

Параметр realm должен содержать полное имя домена Kerberos. Параметр workgroup должен быть установлен как NetBIOS-имя домена. В некоторых случаях отсутствие корректного NetBIOS-имени домена может привести к нефатальным, но блокирующим ошибкам при запуске служб, особенно при работе с Winbind.  

Параметр ldap server require strong auth = yes является важной мерой безопасности, внедренной для защиты от атак NTLM forwarding или «pass the hash» на LDAP-сервер.  

Процедура Вступления в Домен

Для вступления сервера Samba в домен Active Directory необходимо:

• Убедиться, что /etc/krb5.conf корректно настроен (или использовать утилиту realm join для автоматизации, как в Red Hat-подобных системах ).  
• Получить Kerberos-билет администратора домена: kinit Administrator@YOURDOMAIN.COM.  
• Присоединить сервер к домену: net ads join -U Administrator.  

Некорректная настройка Kerberos-аутентификации, несмотря на отключение NTLM, может привести к тому, что клиенты будут получать ошибку NT_STATUS_NTLM_BLOCKED. Это служит четким сигналом того, что Kerberos не работает, и требуется тщательная отладка DNS, синхронизации времени и файла  krb5.keytab.

Управление локальными пользователями Samba

Для автономных серверов (режим security = user) необходимо создать локальные учетные записи пользователей. Рекомендуется использовать системные учетные записи с ограниченной оболочкой для предотвращения прямого SSH-доступа:

useradd -s /bin/false -d /home/samba/user -g group user 

После создания системного пользователя его необходимо добавить в отдельную базу паролей Samba с помощью утилиты smbpasswd -a user. Эта необходимость обусловлена тем, что механизмы шифрования паролей, используемые в Windows для протокола SMB, несовместимы со стандартными механизмами Linux.

Управление правами: полная поддержка NTFS ACL

Различия POSIX и NTFS ACL

Изначально Samba сталкивалась с проблемой полноценной эмуляции детальных и наследуемых списков контроля доступа (ACL) NTFS, поскольку стандартные POSIX ACL (владелец, группа, остальные) слишком просты для сложных корпоративных требований. По этой причине долгое время считалось, что Linux-серверы не могут обеспечить детализированное управление доступом, привычное администраторам Windows.

Однако данное утверждение устарело. Современные версии Samba полностью обходят это ограничение с помощью модулей VFS (Virtual File System).

Активация полной поддержки NTFS ACL

Для обеспечения полной поддержки NTFS ACLs на файловых системах Linux (таких как Ext4 или XFS), не имеющих нативной поддержки NFSv4 ACL, используется модуль vfs_acl_xattr.  

Этот модуль сохраняет полные списки контроля доступа Windows (NT ACLs) в виде расширенных атрибутов (Extended Attributes, EAs), в частности в атрибуте security.NTACL. В этом атрибуте сохраняются оригинальные SID (Security Identifiers) Windows, что позволяет полностью маппировать права доступа, как если бы это был сервер Windows.  

Модуль активируется в секции ресурса или глобально:

[storage]
comment = Хранилище с полными ACL
path = /data/storage
vfs objects = acl_xattr
writeable = yes
inherit acls = true
store dos attributes = yes

Активация vfs objects = acl_xattr является решающим фактором, позволяющим администраторам Windows управлять правами доступа через привычные графические интерфейсы, тем самым обеспечивая статус Linux-сервера как полноценного корпоративного файлового сервера. Модуль автоматически форсирует некоторые параметры, такие как inherit acls = true и dos filemode = true.  

Нюансы использования acl_xattr

Для корректной работы acl_xattr необходимо убедиться, что базовая файловая система смонтирована с поддержкой расширенных атрибутов (EAs).

По умолчанию Samba пытается синхронизировать NT ACL с системными POSIX ACL. Если доступ к файлам будет осуществляться исключительно через Samba, может быть использован параметр acl_xattr:ignore system acls = yes. Это повышает совместимость с NT ACL, поскольку устраняет двойную обработку, но отключает использование POSIX ACL для локального или NFS-доступа.  

Крайне важно использовать защищенный расширенный атрибут security.NTACL по умолчанию. Попытка переопределить расположение ACL в незащищенный атрибут (например, user.NTACL) с помощью опции acl_xattr:security_acl_name создает серьезный риск безопасности, поскольку позволяет непривилегированным локальным пользователям изменять права доступа к файлам.  

Продвинутые функции общих ресурсов (Shares) и VFS модули

Секция [homes] и приватный доступ

Секция [homes] является специальной и позволяет автоматически создавать общие ресурсы для личных каталогов пользователей, даже если эти ресурсы не описаны явно в smb.conf. Когда клиент обращается к ресурсу с именем, соответствующим имени пользователя (например, //sambaserver/user), Samba ищет пользователя в своей базе и предоставляет ему доступ к его домашнему каталогу.  

Рекомендованная конфигурация:

[homes]
comment = Личный каталог пользователя
browseable = no      ; Скрывает каталоги от просмотра в сетевом окружении
writeable = yes
create mode = 0750   ; Права для новых файлов
directory mode = 0775 ; Права для новых каталогов

Скрытие ресурса (browseable = no) повышает приватность, не позволяя другим пользователям легко обнаружить личные каталоги.  

Настройка произвольного ресурса (Share)

Настройка произвольного общего ресурса ([public], [storage]) позволяет гибко управлять доступом.

[public]
    comment = Общий ресурс для персонала
    path = /data/public
    public = yes 
    writeable = no 
    write list = @finance, administrator ; Группам и пользователям, которым разрешена запись
    veto files = /*.exe/*.bat/*.vbs/

Параметры write list и valid users переопределяют глобальные настройки и позволяют администратору точно указать, кто имеет право на запись или доступ, независимо от параметра writeable.

Для повышения безопасности и соблюдения политик можно использовать параметры для скрытия или запрета определенных типов файлов:

• hide dot files = yes: Скрывает в Windows файлы, начинающиеся с точки (традиционно скрытые в Linux).
• veto files и delete veto files: Используются для блокировки доступа или запрета удаления файлов, соответствующих шаблону (например, исполняемых файлов или временных файлов), что является ключевой мерой для предотвращения распространения вредоносного ПО.

Реализация корзины (Recycle Bin) с VFS-модулями

Samba поддерживает концепцию стекируемых VFS-модулей, которые позволяют добавлять расширенную функциональность, не реализованную в ядре Samba (например, антивирусное сканирование, журналирование или корзина).  

Для реализации аналога «Корзины Windows», куда перемещаются удаленные файлы вместо немедленного стирания, используется модуль vfs_recycle.  

При необходимости одновременного использования нескольких продвинутых функций, таких как поддержка NTFS ACL и Корзины, модули перечисляются в параметре vfs objects в порядке их выполнения.

[storage_protected]
vfs objects = acl_xattr recycle
path = /data/storage
recycle:repository =.recycle ; Имя каталога корзины внутри ресурса
recycle:keeptree = yes       ; Сохранять иерархию каталогов при удалении
recycle:maxsize = 524288000  ; Ограничение размера файла (500 МБ)

Порядок следования модулей критичен. Например, если используется модуль антивируса (vscan-clamav), его следует разместить первым (vfs objects = vscan-clamav recycle), чтобы сканирование произошло до того, как файл будет перемещен в корзину. Параметр recycle:keeptree = yes значительно улучшает пользовательский опыт, позволяя восстанавливать файлы с сохранением их исходной структуры каталогов внутри .recycle.  

Сервер печати на базе CUPS и Samba

Современная интеграция печати

Samba позволяет организовать централизованную сетевую печать для Windows-клиентов. В современных Linux-системах управление печатью осуществляется с помощью CUPS (Common UNIX Print System). Samba выступает в роли моста, принимая задания на печать по протоколу SMB от Windows-машин и передавая их в систему CUPS для обработки.  

Настройка печатных ресурсов

Для активации функций печати в секции [global] необходимо указать следующие параметры:

[global]
load printers = yes
printing = cups
printcap name = cups
disable spoolss = No

Параметр printcap name = cups предписывает Samba использовать список принтеров, определенных в конфигурации CUPS, вместо устаревших механизмов.  

Секция [printers]

Эта секция служит шаблоном для всех принтеров, определенных в CUPS, и обеспечивает их публикацию в сети:

[printers]
comment = Все Сетевые Принтеры
path = /var/spool/samba ; Каталог спула заданий
browseable = yes
printable = yes
read only = yes
printer admin = @ntadmins ; Указывает группу, имеющую права на управление принтерами

Параметр printable = yes является обязательным для печатных ресурсов.

Секция [print$] (Распространение Драйверов)

Секция [print$] является опциональной, но крайне полезной для корпоративных сетей. Она позволяет Windows-клиентам автоматически загружать необходимые драйверы принтеров с сервера Samba, что существенно упрощает развертывание печати:

[print$]
comment = Printer Drivers Share
path = /var/lib/samba/drivers
write list = administrator, @ntadmins ; Разрешает загрузку драйверов для администраторов

Предоставление централизованного места для хранения и загрузки драйверов является ключевым фактором, облегчающим работу администратора в гетерогенной среде.  

Сетевое взаимодействие, Firewall и диагностика

Сетевые порты Samba

Для обеспечения сетевого взаимодействия необходимо, чтобы фаервол сервера разрешал прохождение трафика на определенных портах. Современные клиенты Windows используют Direct Host SMB (SMBv2/v3) через TCP порт 445. Легаси-порты NetBIOS используются только в случае, если SMBv1 не отключен, или для функций сетевого браузинга (nmbd).  

Настройка Firewall

Администратор должен настроить локальный фаервол, чтобы разрешить входящие соединения на необходимые порты, используя стандартный сервис samba.

Для систем, использующих Firewalld (например, Red Hat, CentOS, Fedora):

sudo firewall-cmd --permanent --add-service=samba
sudo firewall-cmd --reload

Для систем, использующих UFW (например, Ubuntu, Debian):

sudo ufw allow 'Samba'
# Для ограничения доступа по подсети:
sudo ufw allow from 192.168.1.0/24 to any app Samba

Инструменты диагностики (Troubleshooting)

Диагностика проблем с Samba должна следовать логической последовательности, начиная с проверки конфигурации и заканчивая анализом сетевого трафика.

• testparm: Первый и самый важный шаг. Утилита проверяет синтаксические ошибки в smb.conf. Если команда отработала без ошибок, то конфигурационный файл синтаксически корректен.  
• smbclient: Утилита для эмуляции клиента. Используется для проверки доступности общих ресурсов и аутентификации с командной строки Linux: smbclient -L //localhost -U <user>.  
• nmblookup: Используется для запроса имен NetBIOS и проверки работы службы имен на порту 137, что полезно при отладке проблем с обнаружением сервера.  
• smbstatus: Показывает текущие активные сеансы, открытые файлы, и, что критически важно, версию используемого протокола SMB и алгоритм шифрования для каждого клиента.  
• tcpdump / Wireshark: Если более простые инструменты не выявили проблему, необходим анализ пакетов для наблюдения за процессом установления соединения (SMB handshake) и проверки, какой протокол (SMBv1, 2, 3) пытается использовать клиент.  

Общие рекомендации

Рекомендованные параметры [global] для безопасности SMBv3

Для построения безопасного и высокопроизводительного сервера Samba рекомендуется придерживаться следующего свода правил в секции [global]:

Примеры использования стекируемых VFS-Модулей

Использование модулей VFS позволяет расширить функциональность Samba, обеспечивая соответствие требованиям корпоративной среды:

Заключение

Современный пакет Samba (версий 4.x и выше) предоставляет полный набор инструментов, позволяющий Linux-серверу выступать в качестве полноценного участника корпоративной сети Windows. Утверждение о невозможности полноценной эмуляции NTFS ACLs устарело; использование VFS-модуля acl_xattr позволяет преодолеть различия между POSIX и NTFS системами прав доступа, обеспечивая администраторам Windows привычный уровень управляемости.

Ключ к успешной интеграции лежит в проактивном подходе к безопасности: необходимо полностью отказаться от SMBv1, настроить минимальный протокол на SMBv3, обеспечить обязательную подпись пакетов (server signing = required) и, в корпоративных средах, настроить централизованную аутентификацию через Active Directory с использованием Kerberos. Тщательное следование этим рекомендациям, в сочетании с активным использованием диагностических инструментов (testparm, smbstatus), гарантирует надежную, безопасную и высокопроизводительную работу Linux-сервера в гетерогенной сети.

Читайте также

• Управление процессами в Linux
• OpenSSH: руководство по установке, настройке и обеспечении безопасности
• Мониторинг изменений файлов в Linux.