WEDOS Disk – připojení přes SMB/CIFS

  WEDOS Disk

SMB (také nazývaný CIFS) je protokol pro sdílený přístup k souborům, je používán zejména mezi počítači s operačním systémem Windows (sdílené disky).

Některá omezení sdílení souborů přes SMB:

  • Komunikace protokolu SMB není šifrovaná. Doporučujeme využít šifrování pomocí stunnelu (viz. dále).
  • Na větší vzdálenosti (mezi vaším PC a serverem) není protokol příliš moc použitelný, výkon a rychlost jsou dosti závislé na kvalitě Internetového připojení. Nejvhodnější bude tento protokol pro zálohování Windows serverů, které jsou umístěny u nás.
  • Pozor na to, že někteří poskytovatelé připojení k Internetu porty protokolu SMB blokují. V takovém případě musíte tuto blokaci obejít pomocí stunnelu.
  • Komunikaci protokolu SMB mohou také často blokovat firewally (TCP porty 139 a 445) – v případě potíží se ujistěte, že máte povoleno se na tyto porty ven spojovat.

Pokud nechcete tento protokol ke spojení k diskovému prostoru využívat, doporučujeme jej zakázat (v detailu uživatele diskového prostoru).

Připojení z Windows

Ve Windows si diskový prostor od nás připojíte jako další disk (např. Z:) a budete s ním pracovat jako s jakýmkoliv jiným diskem ve vašem počítači.

Nejprve se ujistěte, že máte v nastavení síťového rozhraní povoleno Klient sítě Microsoft.

Klikněte na ikonu Tento počítač a z horního lišty v okně, které se objeví vyberte Nástroje a dáte Připojit síťovou jednotku.

Následně budete vyzváni zadání cesty k úložišti. Vypňte tedy kolonku Složka dle e-mailu o zřízení služby.

Stiskem tlačítka Dokončit potvrdíme výběr a budeme požádáni o přihlašovací údaje. Ty naleznete opět v e-mailu o zřízení služby.

Po stisknutí OK se v případě, že jste vše zadali správně, otevře nové okno s obsahem disku.

Připojení z Linuxu

Připojení disku v Linuxu se může lišit dle vámi používané distribuce. Obvykle je potřeba mít nainstalované následující balíčky: samba-client, cifs-utils, smbfs.

Pro připojení přidejte do /etc/fstab následující řádek (upravte dle vašich údajů):

//1021.s21.wedos.net/s1021 /mnt/disk cifs cred=/home/user/secret.cfg,_netdev,nounix,noperm 0 0
  • //1021.s21.wedos.net/s1021 – adresa s cestou pro připojení (adresa serveru/uživatel)
  • /mnt/disk – adresář kam chci mít vzdálený disk připojen (adresář musí existovat)
  • cred=/home/user/secret.cfg – soubor s přihlašovacími údaji

Soubor /home/user/secret.cfg bude obsahovat přihlašovací jméno a heslo (měli byste mu nastavit právo čtení pouze pro uživatele root):

username=s1021
password=*********

Nakonec disk připojíme příkazem:

mount /mnt/disk

Šifrované připojení

Pokud se chceme k diskovému prostoru přihlásit plně šifrovaně, samotný protokol SMB toto neumí. Je potřeba využít program stunnel, který vytvoří šifrovaný tunel mezi vaším počítačem a naším serverem.

Protokol SMB využívá na serveru porty 139 a 445. Šifrovaná varianta je k dispozici na portech 140 a 446 – na ně je potřeba šifrovaný tunel nasměrovat.

Pro vytváření šifrovaného kanálu používáme program stunnel – (stunnel.org). Na straně serveru se přesměrují porty 139 a 445 na 140 a 446. Na straně klienta musí být taktéž stunnel, který nabinduje šifrované spojení zpět na lokální porty 139 a 445.

Ve Windows jsou porty 139 a 445 vždy obsazeny, musí se tedy na to jít oklikou. Bude tedy nutno přidat Microsoft loopback adapter, nastavit na něj další IP adresu a připojovat se na něj (how to secure samba with stunnel – wiki.netbsd.org). Jinou možností je mít vedle další Linuxový stroj, který bude fungovat jako klientská část stunnelu.

Konfigurace programu stunnel (/etc/stunnel/stunnel.conf) na straně klienta vypadá přibližně takto:

[samba445]
accept = 445
client = yes
connect = 1021.s21.wedos.net:446

[samba139]
accept = 139
client = yes
connect = 1021.s21.wedos.net:140

Ve fstabu se pak připojujeme na localhost:

//localhost/s1021 /mnt/disk cifs cred=/home/user/secret.cfg,_netdev,nounix,noperm 0 0

fingerprint certifikátu pro vyloučení MITM útoku je: C4:12:01:C3:C1:BB:CF:F0:4F:7D:8C:28:06:E6:46:70:53:F7:E1:B6