 "Aufmacher Artikel")
Beginnen wir unseren Ausflug in den Dschungel mit dem Samba Web Administration Tool (SWAT) und erläutern gleich einige seiner Vor- und Nachteile. Das Web-Frontend richtet sich vor allem an die Anwender, die sich auf der Kommandozeile noch nicht so sicher fühlen und daher lieber auf grafische Frontends verlassen.
SWAT ist ein web-basiertes Interface, mit dem sich die zentrale Samba-Konfiguration in smb.conf editieren lässt. Diese Datei liegt bei vielen Distributionen direkt im verzeichnis /etc. Manche Distributionen, wie zum Beispiel SuSE und Debian, gehen hier einen anderen Weg und legen alle Konfigurationsdateien von Samba in einem eigenem Unterverzeichnis /etc/samba ab. Sollten Sie unsicher sein, wo sich die Datei auf Ihrem System befindet, dann geben Sie einfach locate smb.confgrep /etc ein.
Die Eingabemaske des Tools ist via Browser von jedem Punkt eines Netzwerkes aus zu erreichen. Auf diese Weise können Sie Fernwartungen durchführen, den Server-Status prüfen, Manpages einsehen, Passwörter ändern und allerlei mehr. Die Vorteile des Hilfsprogramms machen es jedoch auch zu einem Wackelkandidaten in Ihrer Systemsicherheit, was wir nicht unter den Teppich kehren wollen.
Als Sicherheitsleck kann sich hauptsächlich die Eingabe Ihres Root-Passworts erweisen, das Sie benötigen, um mit dem Web-Tool zu arbeiten: Ihre Zugangsdaten werden nämlich bei der Anmeldung am externen Samba-Rechner im Klartext durchs Netzwerk geschickt.
Das bedeutet: Jeder Packet-Sniffer ist in der Lage, Ihre Daten auszulesen. Ebenfalls mehr Klartext, als Ihnen lieb sein kann, spricht der Passwort-Manager eines Browsers. Durch ein versehentlich gesetztes Häkchen können die empfindlichen Daten in seinem Register landen. Und zuletzt ist SWAT ein zusätzlicher Dienst, der einen Port offen hält.
Doch genug der Schwarzmalerei, machen wir uns daran, den Boden für den Einsatz des Interface zu bereiten.
Vorbereitung
In vielen Distributionen ist swat bereits im Samba-Paket enthalten, dann erfordert es keine zusätzliche Installation. Bei Debian befindet es sich in einem Extrapaket mit dem Namen swat.
Um die Software zu installieren und zu starten, ist nur wenig Handarbeit nötig. Den ersten Schritt erledigt die Paketverwaltung der eingesetzten Distribution. Der zweite Schritt besteht darin, das Administrationstool in die Konfigurationsdatei des Superdaemon inetd aufzunehmen. Dazu öffnen Sie die Konfigurationsdatei /etc/inetd.conf und tragen die folgenden Zeilen ein:
# Samba Web Administration Tool swat stream tcp nowait.400 root /usr/sbin/swat swat
Der genaue Aufbau dieser Zeile, inbesondere der Pfad /usr/sbin/swat, kann je nach Distribution im Detail variieren und muss nicht unserem Beispiel entsprechen. Eventuell ist diese Zeile sogar bereits vorhanden. Wenn Sie statt inetd den neueren Superdaemon xinetd einsetzen, entspricht die Anweisung dem folgenden Muster:
# Samba Web Administration Tool
service swat
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/swat
}Nun überprüfen Sie, ob Sie in Ihrer Datei /etc/services eine swat-Zeile finden und entfernen das Kommentarzeichen # vor dem Wort "swat", falls sich dort eines befindet:
# Samba Web Adminstration Tool swat 901/tcp
All diese Einstellungen nehmen Sie natürlich als root vor. Jetzt veranlassen Sie einen Neustart des inetd, damit er seine Konfiguration erneut einliest. Bei der Distribution SuSE genügt dazu das Kommando rcinetd restart in der Shell. Unter Debian heißt der Befehl /etc/init.d/inetd restart.
Damit sind die Vorbereitungen auch schon abgeschlossen, und Sie können sich nun das Frontend aus der Nähe anschauen. Öffnen Sie in einem Web-Browser die Adresse:
http://Server-Name :901
In den eckigen Klammern steht in Ihrem konkreten Fall der Name des Rechner, auf dem Samba und SWAT laufen.
Wenn Sie ohnehin im Rechner eingeloggt sind, auf dem der Samba-Editor läuft, greifen als Server-Namen ebenfalls die Adressen localhost und 127.0.0.1. Als Browser eignen sich neben grafischen Programmen wie Opera und Mozilla die Text-Browser w3m und Lynx, wenn Sie es gerne etwas weniger bunt haben. In der Funktionalität sind Sie durch einen textbasierten Browser nicht eingeschränkt. Auf diese Weise können sogar via SSH Rechner administriert werden.
Abbildung 1: Der Login-Dialog des Browsers
Login und Menüs
Nachdem Sie Ihren Browser auf den genannten Pfad gesetzt haben, erscheint eine Aufforderung zur Authentifizierung (Abbildung 1).
Wenn Sie sich lediglich als User mit Ihrem gewohnten Benutzernamen und dem Passwort anmelden, bleiben Ihnen einige Optionen verborgen. Um jedoch als root in der neuen Web-Umgebung nicht Gefahr zu laufen, die Samba-Konfiguration zu zerschießen, legen Sie zuvor besser ein Backup der Datei smb.conf an:
[root]# cp /etc/smb.conf /etc/smb.conf-BACKUP
Einem Freund empfehlen
