WEDOS Disk – připojení přes SMB/CIFS

  WEDOS Disk

SMB (také nazývaný CIFS) je protokol pro sdílený přístup k souborům, je používán zejména mezi počítači s operačním systémem Windows (sdílené disky).

Některá omezení sdílení souborů přes SMB:

  • Komunikace protokolu SMB není šifrovaná. Doporučujeme využít šifrování pomocí stunnelu (viz. dále).
  • Na větší vzdálenosti (mezi vaším PC a serverem) není protokol příliš moc použitelný, výkon a rychlost jsou dosti závislé na kvalitě Internetového připojení. Nejvhodnější bude tento protokol pro zálohování Windows serverů, které jsou umístěny u nás.
  • Pozor na to, že někteří poskytovatelé připojení k Internetu porty protokolu SMB blokují. V takovém případě musíte tuto blokaci obejít pomocí stunnelu.
  • Komunikaci protokolu SMB mohou také často blokovat firewally (TCP porty 139 a 445) – v případě potíží se ujistěte, že máte povoleno se na tyto porty ven spojovat.

Pokud nechcete tento protokol ke spojení k diskovému prostoru využívat, doporučujeme jej zakázat (v detailu uživatele diskového prostoru).

Připojení z Windows

Pro připojení si nejdříve připravíme přihlašovací údaje, které naleznete ve zřizovacím emailu služby. V emailu je uvedená cesta, uživatel a heslo (to je pro všechny typy připojení stejné)

Email o zřízení Wedos DISKu

Pokud máme údaje připravené, tak si otevřeme Tento počítač pomocí průzkumníka windows. Následně v záložce Počítač vybereme Připojit síťovou jednotku.

Připojení disku

Zobrazí se nám okno pro zadání údajů. Vyplníme cestu dle instrukcí v emailu o zřízení.

Položka Připojit pomocí jiných přihlašovacích údajů je v tomto případě nepotřebná, jelikož k Wedos DISKu se připojujete pomocí jiných údajů než do svého PC, takže se Vám okno pro zadání údajů zobrazí ve všech případech.

Jednotku, tedy písmenu disku si zvolte libovolně.

Připojení

Následně se Vám zobrazí klasické Windows okno pro zadání uživatele a hesla. To opět vyplníte dle instrukcí v emailu. Pokud zvolíte „Zapamatovat heslo“ bude se Vám disk po spuštění počítače připojovat automaticky. V opačném případě bude vždy před připojením vyžadovat heslo.

Připojení z Linuxu

Připojení disku v Linuxu se může lišit dle vámi používané distribuce. Obvykle je potřeba mít nainstalované následující balíčky: samba-client, cifs-utils, smbfs.

Pro připojení přidejte do /etc/fstab následující řádek (upravte dle vašich údajů):

//1021.s21.wedos.net/s1021 /mnt/disk cifs cred=/home/user/secret.cfg,_netdev,nounix,noperm 0 0
  • //1021.s21.wedos.net/s1021 – adresa s cestou pro připojení (adresa serveru/uživatel)
  • /mnt/disk – adresář kam chci mít vzdálený disk připojen (adresář musí existovat)
  • cred=/home/user/secret.cfg – soubor s přihlašovacími údaji

Soubor /home/user/secret.cfg bude obsahovat přihlašovací jméno a heslo (měli byste mu nastavit právo čtení pouze pro uživatele root):

username=s1021
password=*********

Nakonec disk připojíme příkazem:

mount /mnt/disk

Šifrované připojení

Pokud se chceme k diskovému prostoru přihlásit plně šifrovaně, samotný protokol SMB toto neumí. Je potřeba využít program stunnel, který vytvoří šifrovaný tunel mezi vaším počítačem a naším serverem.

Protokol SMB využívá na serveru porty 139 a 445. Šifrovaná varianta je k dispozici na portech 140 a 446 – na ně je potřeba šifrovaný tunel nasměrovat.

Pro vytváření šifrovaného kanálu používáme program stunnel – (stunnel.org). Na straně serveru se přesměrují porty 139 a 445 na 140 a 446. Na straně klienta musí být taktéž stunnel, který nabinduje šifrované spojení zpět na lokální porty 139 a 445.

Ve Windows jsou porty 139 a 445 vždy obsazeny, musí se tedy na to jít oklikou. Bude tedy nutno přidat Microsoft loopback adapter, nastavit na něj další IP adresu a připojovat se na něj (how to secure samba with stunnel – wiki.netbsd.org). Jinou možností je mít vedle další Linuxový stroj, který bude fungovat jako klientská část stunnelu.

Konfigurace programu stunnel (/etc/stunnel/stunnel.conf) na straně klienta vypadá přibližně takto:

[samba445]
accept = 445
client = yes
connect = 1021.s21.wedos.net:446

[samba139]
accept = 139
client = yes
connect = 1021.s21.wedos.net:140

Ve fstabu se pak připojujeme na localhost:

//localhost/s1021 /mnt/disk cifs cred=/home/user/secret.cfg,_netdev,nounix,noperm 0 0

fingerprint certifikátu pro vyloučení MITM útoku je: C4:12:01:C3:C1:BB:CF:F0:4F:7D:8C:28:06:E6:46:70:53:F7:E1:B6