SAMBA畢業(yè)論文設(shè)計

1、畢業(yè)設(shè)計（論文） 題 目 linux操作系統(tǒng)下samba 服務(wù)器配置與管理 姓名與學(xué)號 徐兵（09311211222） 指 導(dǎo) 教 師 雷家星 所在系及專業(yè) 航空港管理學(xué)院 2012年 01 月 08 日1、 畢業(yè)設(shè)計（論文）任務(wù)書一、題目： linux環(huán)境下samba服務(wù)器設(shè)置 二、內(nèi)容和要求（包括需達到的技術(shù)指標(biāo)、規(guī)定閱讀的文獻和應(yīng)完成的電路設(shè)計圖等） samba服務(wù)器的安裝和初始設(shè)置samba服務(wù)器介紹，應(yīng)用前景和發(fā)展歷程。samba服務(wù)器的安裝條件和相關(guān)網(wǎng)絡(luò)知識介紹。samba服務(wù)器的升級更新。samba服務(wù)器的基本配置samba服務(wù)器的文件配置。samba服務(wù)器安全和口令加密知識 s

2、amba的文件共享和gui管理工具以及自動化管理知識三、起訖日期及進度安排 起訖日期： 2012 年 1 月 10 日 至 2012 年 4 月 1 日 進度安排：第一階段完成文獻閱讀和開題報告第二階段進一步搜集資料，確定畢業(yè)設(shè)計（論文）總體框架第三階段初稿完成第四階段修改第五階段答辯指導(dǎo)教師 年 月 日 四、教研室審查意見教研室主任 年 月 日文獻閱讀與開題報告考核一指導(dǎo)教師對對文獻閱讀與開題報告、外文文獻翻譯的評語：1. linux服務(wù)器配置與管理指南伍云輝 編著 清華大學(xué)出版社 2. linux服務(wù)器架設(shè)指南 林天峰 編著 清華大學(xué)出版社3. lamp兄弟連李明老師講linux-samb

3、a服務(wù)器配置視頻教程 指導(dǎo)教師（簽名）： 20 年 月 日二答辯評語及成績： 答辯小組負(fù)責(zé)人（簽名） 20 年 月 日目錄 緒論.1. samba服務(wù)器簡介a) 什么是samba服務(wù)器.2b) samba服務(wù)器發(fā)展歷程.42 .samba服務(wù)器功能和應(yīng)用范圍 . a) samba協(xié)議導(dǎo)論.5b) samba服務(wù)器的獲取以及版本介紹.7c) samba服務(wù)器應(yīng)用范圍.93. windows網(wǎng)絡(luò)介紹a) netbios概述.12b) windows網(wǎng)絡(luò)模型介紹及windows域.144. samba服務(wù)器相關(guān)程序a) samba服務(wù)器相關(guān)啟動程序介紹.17b) samba服務(wù)器安裝及測試.18c)

4、 samba服務(wù)器自啟動和網(wǎng)絡(luò)連接測試.195. samba服務(wù)器配置與管理.a) 配置smb.conf文件.21b) 啟動設(shè)置及驗證smbd和nmbd.22c) samba服務(wù)器中用戶和用戶組管理.246. samba文件共享設(shè)置.a) 配置文件共享.25b) 限制samba共享與權(quán)限訪問.26c) samba中smb.conf的高級參數(shù)設(shè)置.28d) samba安全和相關(guān)屬性.29e) samba服務(wù)器文件共享常見故障排除.317. samba 打印機共享a) 從windows訪問打印機.32b) 添加打印機向?qū)О惭b打印機.32c) 配置基本打印機共享屬性.33d) 打印機隊列任務(wù)管理.3

5、5e) 打印機共享常見故障排除.378.samba與密碼管理a)samba協(xié)議與密碼.38b) 配置smbpasswd文件并進行鑒定.399.總結(jié).致謝, 參考文獻.41第一章：samba服務(wù)器介紹一：什么是samba？ 什么是samba ,首先聲明，在這個別樣論文中我所要講述的不是來自巴西 熱情奔放的samba舞蹈，況且我也沒有這個水平，呵呵，玩笑話，好，步入正題今天所要講述的畢業(yè)論文的題目是samba服務(wù)器，samba服務(wù)器是在linux和unix系統(tǒng)上實現(xiàn)smb協(xié)議的一個免費軟件系統(tǒng)，由服務(wù)器及客戶端程序構(gòu)成。首先，samba，是種用來讓unix系列的操作系統(tǒng)與微軟的windows操作系

6、統(tǒng)smb/cifs（server message block/common internet file system）網(wǎng)絡(luò)協(xié)定做連結(jié)的自由軟件。目前的版本是v4，不僅可存取及分享smb的資料夾及打印機，本身還可以整合入windows server的網(wǎng)域，扮演為網(wǎng)域控制站（domain controller）以及加入active directory成員。簡而言之，此軟件在windows與unix系列os之間搭起一座橋梁，讓兩者的資源可互通有無，實現(xiàn)資源共享。其次，samba是一個工具套件，在unix上實現(xiàn)smb(server message block）協(xié)議，或者稱之為netbios/lanma

7、nager協(xié)議。smb協(xié)議通常是被windows系列用來實現(xiàn)磁盤和打印機共享。需要注意的是，netbios是基于以太網(wǎng)廣播機制的，沒有透明網(wǎng)橋是不能跨越網(wǎng)段的，我個人認(rèn)為samba是把 smb綁定到tcp/ip上實現(xiàn)的，samba只在ip子網(wǎng)內(nèi)廣播，所以在win95上與samba通訊既要裝 netbeui協(xié)議，也要裝tcp/ip協(xié)議。安德魯，垂鳩andrew tridgell）于1992年在澳洲國立大學(xué)（anu）開發(fā)了第一版的samba unix軟件。這是第一款免費版本的，在linux（unix）環(huán)境下運行的自由軟件。samba先后經(jīng)歷了很多的版本，當(dāng)然也有很多的版本確實出現(xiàn)過大大小小的問題，

8、但是有這樣的一段話：如果你的samba出問題了，那么先不要在社區(qū)論壇上問為什么，先去更新到最新的samba服務(wù)器之后再看看問題還存在的話再回來問吧。（出處不明）由此可見這款免費開源的samba軟件有著多么頑強的生命活力。到今年為止，samba先后經(jīng)歷了20年的改變和完善，具體看samba的官網(wǎng)摘錄。samba是通過網(wǎng)絡(luò)共享打印機和文件等資源的一套工具。這種定義是太過于簡單了些，但samba的確是為了使大家的生活更容易而設(shè)計的。samba使用smb(服務(wù)器報文塊，server message b10ck)協(xié)議，該協(xié)議得到了microsoft和ibm的支持。它在tcpip網(wǎng)絡(luò)的windows客戶機

9、和unix服務(wù)器之間交換低層數(shù)據(jù)。samba有四個很誘人的特性：samba遵守與microsoft和ibm的操作系統(tǒng)相同的smb協(xié)議，從dos 30開始microsoft和ibm就使用標(biāo)準(zhǔn)的smb協(xié)議。這意味著，幾乎所有的windows機器不需安裝額外的客戶端軟件就可理解samba服務(wù)。samba可運行在各種平臺上，包括unix、open-vm、sos2、 amiga、dos和netware。這意味著在服務(wù)器上使用一個程序就可以為各種pc提供文件和打印機共享。samba是自由軟件。現(xiàn)在有一些復(fù)制了samba特性的商業(yè)產(chǎn)品，有的價格非常昂貴。有些軟件包可能會花去你信息系統(tǒng)預(yù)算的大部分，這時sam

10、ba可以替代這些軟件包。samba的發(fā)布遵守gnu的通用公共許可證(gpl)。samba的作者們使它成為一種開源軟件。換句話說，你可以自由地下載samba的應(yīng)用程序及相關(guān)的源代碼，甚至可以修改samba的程序代碼。samba在服務(wù)器上的管理是集中式的。在升級客戶機軟件時，不需要訪問每臺機器、每張軟盤或光驅(qū)。只需要更新服務(wù)器就可以達到目的，這顯然是很有必要的，并且是經(jīng)濟實惠的。第二章 samba服務(wù)器功能和應(yīng)用范圍1：samba協(xié)議導(dǎo)論samba協(xié)議可以理解為samba的工作原理，samba服務(wù)功能強大，這與其通信基于smb協(xié)議有關(guān)。smb不僅提供目錄和打印機共享，還支持認(rèn)證、權(quán)限設(shè)置。在早期，

11、smb運行于nbt協(xié)議（netbios over tcp/ip）上，使用udp協(xié)議的137、138及tcp協(xié)議的139端口，后期smb經(jīng)過開發(fā)，可以直接運行于tcp/ip協(xié)議上，沒有額外的nbt層，使用tcp協(xié)議的445端口。當(dāng)客戶端訪問samba服務(wù)器是，信息通過smb協(xié)議驚醒傳輸，其工作原理可以分為以下幾個步驟：步驟1：協(xié)議協(xié)商客戶端在訪問samba服務(wù)器時，發(fā)送negprot指令數(shù)據(jù)包，告知目標(biāo)計算機其支持的smb類型。samba服務(wù)器根據(jù)客戶端的情況，選擇最優(yōu)的smb類型，并做出回應(yīng)。 -negprot請求-客戶端 服務(wù)器 -negprot響應(yīng)-步驟2：建立連接當(dāng)smb類型確認(rèn)后，客戶

12、端會發(fā)送session setup指令數(shù)據(jù)包，提交帳號和密碼，請求與samba服務(wù)器建立連接，如果客戶端通過身份驗證，samba服務(wù)器會對session setup報文作出回應(yīng)，并為用戶分配唯一的uid，在客戶端與其通信時使用。 -session setup &x請求-客戶端 服務(wù)器 -session setup &x響應(yīng)-步驟3：訪問共享資源客戶端訪問samba共享資源時，發(fā)送tree connect指令數(shù)據(jù)包，通知服務(wù)器需要訪問的共享資源名，如果設(shè)置允許，samba服務(wù)器會為每個客戶端與共享資源連接分配tid,客戶端即可訪問需要的共享資源哈。 -tree connect &x請求-客戶端

13、服務(wù)器 -tree connect &x響應(yīng)-步驟4：斷開連接共享使用完畢，客戶端向服務(wù)器發(fā)送tree disconnect報文關(guān)閉共享，與服務(wù)器斷開連接。 -tree disconnect請求-客戶端 服務(wù)器 -tree disconnect響應(yīng)-linux是一個多用戶的操作系統(tǒng)，對任何服務(wù)器的架設(shè)與都用戶、用戶組及權(quán)限相關(guān)，這是操作的基礎(chǔ)。samba服務(wù)器也不例外，對這些知識的掌握也是極為重要的。在windows系統(tǒng)上雖然也能架共享文件服務(wù)器，但它的權(quán)限控制實在令人不敢恭維。如果我們用windows系統(tǒng)來架網(wǎng)絡(luò)共享文件系統(tǒng)，就是點鼠標(biāo)也能把我們點迷糊了。但在linux中，我們可以輕松的改一

14、改配置文件，不到幾分鐘就能建好自己的samba服務(wù)器。哪個更容易，這顯而易見！對于samba服務(wù)器的架設(shè)，有的人簡單的認(rèn)為，只要把改一下配置文件，創(chuàng)建好相應(yīng)的目錄就行了。其實并不是這樣的，還要深入的工作，比如目錄的權(quán)限和歸屬，也就是說能讓哪個用戶和用戶組有讀寫權(quán)。只有把配置文件和共享目錄的權(quán)限結(jié)合起來，才能架好samba服務(wù)器；2：samba服務(wù)器版本的獲取和介紹samba服務(wù)器可以通過以下幾種方法獲得：（1） ，通過redhat安裝光盤獲取，一般可以在iso文件中搜索samba關(guān)鍵字，可搜索索到以下文件 然后按照只是安裝：除了此安裝文件，其他同樣的道理。除了此安裝文件，其他同樣的道理。安裝完

15、成之后檢驗安裝是否成功安裝成功的對話框窗口：使用命令啟動samba服務(wù)器：service smb start結(jié)果如上圖：說明安裝已經(jīng)成功。另外的兩個samba服務(wù)器的命令是：#service smb stop /關(guān)閉samba服務(wù)器#service smb restart /重啟samba服務(wù)器其次，還可以通過網(wǎng)絡(luò)找到最新的smb安裝包，啟動命令安裝 ：rpm -qa |grep samba此命令查看已經(jīng)包含的smb的安裝文件，然后安裝，3：samba服務(wù)器應(yīng)用范圍和功能samba對任何規(guī)模的局域網(wǎng)(lan)提出了完全的解決方案從兩臺計算機的家庭網(wǎng)絡(luò)，到公司的幾百個節(jié)點的網(wǎng)絡(luò)，samba的創(chuàng)建

16、和管理都很容易。它為用戶提供了一個透明的網(wǎng)絡(luò)環(huán)境，通過它可以訪問所有需要的網(wǎng)絡(luò)資源。在安裝了samba之后，將unix文件提供給windows、os2和其他操作系統(tǒng)的客戶機。允許unix客戶機訪問pc文件。提供名稱服務(wù)(廣播和wins)。允許瀏覽來自windows客戶機的網(wǎng)絡(luò)資源。創(chuàng)建windows工作組或域。目前samba 的最新版本是v4。它的主要功能有：一：提供windows 風(fēng)格的文件和打印機共享。windows 9x、windows 2000、windows xp、windows 2003等操作系統(tǒng)可以利用samba 共享linux 打印機等其他操作系統(tǒng)上的資源，外表上看起來和共享w

17、indows 的資源區(qū)別不太。二：解析netbios 名字。在windows網(wǎng)絡(luò)中，為了能夠利用網(wǎng)上資源，同時是自己的資源也共享出去給別人看到，瀏覽利用，各個主機都會定期地向網(wǎng)絡(luò)中廣播發(fā)送自己的主機身份信息。而這負(fù)責(zé)收集這些信息并為其他主機提供檢索的服務(wù)器被稱為瀏覽服務(wù)器。samba 就是這樣的可以有效地完成這一任務(wù)的服務(wù)器，其在跨越網(wǎng)關(guān)的時候，還可以作為wins 服務(wù)器。三：提供smb 客戶端。利用samba 本身提供的smbclient 程序可以在linux 上使用猶如ftp 一樣方便地訪問windows 資源。smbclient 命令行可以有限地支持windows 的某些管理功能。sam

18、ba 應(yīng)該范圍主要是windows和linux 系統(tǒng)共存的網(wǎng)絡(luò)中使用；如果一個網(wǎng)絡(luò)環(huán)境都是linux或unix類的系統(tǒng)，沒有必要用samba，應(yīng)該用nfs更好一點； 或者是唇windows環(huán)境下的ftp服務(wù)器。當(dāng)然，這另當(dāng)別論！第三章：windows網(wǎng)絡(luò)介紹一：netbios網(wǎng)絡(luò)知識介紹：netbios協(xié)議是由ibm公司開發(fā)，主要用于數(shù)十臺計算機的小型局域網(wǎng)。netbios協(xié)議是一種在局域網(wǎng)上的程序可以使用的應(yīng)用程序編程接口（api），為程序提供了請求低級服務(wù)的統(tǒng)一的命令集，作用是為了給局域網(wǎng)提供網(wǎng)絡(luò)以及其他特殊功能，幾乎所有的局域網(wǎng)都是在netbios協(xié)議的基礎(chǔ)上工作的。netbiosces

19、 protocols。中文釋義：網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)協(xié)議。應(yīng)用：在windows操作系統(tǒng)中，默認(rèn)情況下在安裝tcp/ip協(xié)議后會自動安裝netbios。比如在windows 2000/xp中，當(dāng)選擇“自動獲得ip”后會啟用dhcp服務(wù)器，從該服務(wù)器使用netbios設(shè)置； windows中netbios的安裝如果使用靜態(tài)ip地址或 dhcp服務(wù)器不提供netbios設(shè)置，則啟用tcp/ip上的netbios。具體的設(shè)置方法如下：首先打開“控制面板”，雙擊“網(wǎng)絡(luò)連接”圖標(biāo)，打 開本地連接屬性。接著，在屬性窗口的“常規(guī)”選項卡中選擇“internet協(xié)議（tcp/ip）”，單擊“屬性”按鈕。然后

20、在打開的窗口中，單擊“高 級”按鈕；在“高級tcp/ip設(shè)置”窗口中選擇“wins”選項卡，在“netbios設(shè)置”區(qū)域中就可以相應(yīng)的netbios設(shè)置。但是，它也有其局限性，netbios最多只能與其他節(jié)點建立254個通訊話路。 既然提到了netbios那就必要會聯(lián)系到netbeui，netbios是應(yīng)用程序訪問符合netbios規(guī)范的轉(zhuǎn)輸協(xié)議的接口，netbeui是該接口的一個擴展版本（1985年由ibm開發(fā)成功）。 netbeui不再有netbios的254路的通話鏈接限制，它允許windowsnt機器上的每個進程都能夠與多達254個節(jié)點進行通訊。顯然這是一個很大的進步！netbios名

21、稱最多可有15個字符，通話層應(yīng)用程序通過它來與遠(yuǎn)程計算機進行通訊。netbeui則是通過smb協(xié)議 （servermessageblock服務(wù)器消息塊，最初應(yīng)用于3com公司的lanmanager）來實現(xiàn)在邏輯通道中的消息傳送的。 netbeui總是包含在netbios中，netbios可以運行在幾種不同的傳輸協(xié)議上，包括netbeui、tcp/ip和ipx/spx，后三者位于網(wǎng)絡(luò)層驅(qū)動接口與傳輸層驅(qū)動接口之間。但運行在一種傳輸協(xié)議上的netbios服務(wù)不能和運行另一種傳輸協(xié)議上的netbios服務(wù)通信。netbios可以使用的四種類型的smb(賦予windows計算機本地文件重定向功能以便進

22、入遠(yuǎn)端文件系統(tǒng)) 命令： 話路控制命令： 用于建議或終止與遠(yuǎn)程計算機上某個資源的邏輯連接。 文件命令： 用于遠(yuǎn)程文件訪問。 打印機命令： 用于傳送數(shù)據(jù)給一個遠(yuǎn)程打印隊列，同時也檢查該打印隊列中各項任務(wù)的執(zhí)行狀態(tài)。 消息命令： 用于實現(xiàn)計算機之間的消息傳送。netbios (網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)）最初由 ibm，sytek 作為api開發(fā)，使用戶軟件能使用局域網(wǎng)的資源。自從誕生，netbios成為許多其他網(wǎng)絡(luò)應(yīng)用程序的基礎(chǔ)。嚴(yán)格意義上，netbios 是接入網(wǎng)絡(luò)服務(wù)的接口標(biāo)準(zhǔn)。 它提供給網(wǎng)絡(luò)程序一套方法，相互通訊及傳輸數(shù)據(jù)。基本上，netbios 允許程序和網(wǎng)絡(luò)會話。它的目的是把程序和任何類型

23、的硬件屬性分開。它也使軟件開發(fā)員可以免除以下負(fù)擔(dān)：開發(fā)網(wǎng)絡(luò)錯誤修復(fù)，低層信息尋址和路由。使用 netbios接口，可以為軟件開發(fā)員做許多工作。 netbios使程序和局域網(wǎng)操作能力之間的接口標(biāo)準(zhǔn)化。有它們可以將程序細(xì)化到為osi模型的哪一層所寫，使程序能移植到其他網(wǎng)絡(luò)上。在netbios局域網(wǎng)環(huán)境下，計算機通過名字被系統(tǒng)知道。網(wǎng)絡(luò)中每臺計算機都有通過不同方法編的永久性名稱。通過使用netbios的數(shù)據(jù)報或廣播方式，在netbios局域網(wǎng)上的pc機建立會話彼此聯(lián)絡(luò)。會話允許更多的信息被傳送，探測錯誤，和糾正。通信是在 一對一的基礎(chǔ)上的。數(shù)據(jù)報或廣播方式允許一臺計算機和多臺其他的計算機同時通信，但

24、信息大小受限。使用數(shù)據(jù)報或廣播方式?jīng)]有探測錯誤和糾正。然而，數(shù)據(jù)報 通信可以不必建立一個會話。在這種環(huán)境下所有的通信以一種稱為“網(wǎng)絡(luò)控制塊“的格式提交給netbios。內(nèi)存中這些塊的分配依賴于用戶程序。這些“網(wǎng)絡(luò)控制塊“分配到域中，分別為輸入/輸出保留。 在當(dāng)今的環(huán)境中，netbios是使用很普遍的協(xié)議。以太網(wǎng)，令牌環(huán)，ibm pc網(wǎng)都支持netbios。在它原始版本中，它僅作為程序和網(wǎng)絡(luò)適配器的接口。從那以后，傳輸類功能加入netbios，使它功能日益增多。在netbios里，面向連接(tcp)和無連接(udp)通信均支持。它支持廣播和復(fù)播，支持三個分開的服務(wù)：命名,會話，數(shù)據(jù)報。netbi

25、os 會話服務(wù)提供給用戶程序一種面向連接，可靠的，完全雙重的信息服務(wù)。 netbios要求一個是客戶端程序，一個是服務(wù)器端程序。netbios會話的建立需要雙方預(yù)定的合作。一個程序必須先發(fā)出listen命令，其他程序 才可以發(fā)出call令。listen命令參考在它的netbios名稱表中的名稱（或windows服務(wù)器中的），也參考用于作為會話另一端的遠(yuǎn)端程序的 名稱。如果聆聽者不在聆聽，call命令將不會成功。如果call成功，各程序?qū)⒔拥綍抜d，以作為會話建立的確認(rèn)。 send和receive命令操作傳輸數(shù)據(jù)。在會話最后，各程序?qū)?zhí)行掛起命令。沒有為會話服務(wù)的實際流控制，因為假定局域網(wǎng)足夠

26、快，能夠傳輸需要的數(shù)據(jù)。netbios范圍id為建立在tcp/ip（叫做nbt）模塊上的netbios提供額外的命名服務(wù)。 netbios范圍id的主要目的是隔離單個網(wǎng)絡(luò)上的netbios通信和那些有相同netbios范圍id的節(jié)點。netbios范圍id是附加在 netbios 名稱上的字符串。兩個主機上的netbios范圍id必須匹配，否則兩主機無法通信。netbios范圍id允許 計算機使用相同的計算機名，不同的范圍id。范圍id是netbios名稱的一部分，使名稱唯一。但是，任何一件事物都不一定是完全完美的。netbios 是指網(wǎng)絡(luò)輸入輸出系統(tǒng)，在計算機網(wǎng)絡(luò)發(fā)展史中，netbios 算

27、得上是歷史悠久。早在 1985 年，ibm 公司就開始在網(wǎng)絡(luò)領(lǐng)域使用 netbios，微軟推出第一套基于 windows 的網(wǎng)絡(luò)操作系統(tǒng)windows for workgroups（面向工作組的視窗操作系統(tǒng)）時，就采用了一種適用于 windows 的 netbios 版本，即 netbeui。微軟當(dāng)年之所以選擇 netbeui 作為網(wǎng)絡(luò)傳輸?shù)幕緟f(xié)議，是因為它占用系統(tǒng)資源少、傳輸效率高，尤為適用于由 20 到 200 臺計算機組成的小型局域網(wǎng)。此外，netbeui 還有一個最大的優(yōu)點： 可以方便地實現(xiàn)網(wǎng)絡(luò)中各單機資源的共享。 后來，網(wǎng)絡(luò)的發(fā)展速度之快，已大大超出人們的想象，進入 20 世紀(jì)未，

28、全球的計算機就已可通過國際互聯(lián)網(wǎng)絡(luò)方便連接，隨著互聯(lián)網(wǎng)絡(luò)的迅猛發(fā)展，tcp/ip 協(xié)議成為廣泛使用的傳輸協(xié)議。 今天，tcp/ip 協(xié)議已是互聯(lián)網(wǎng)領(lǐng)域的通用協(xié)議，幾乎所有接入互聯(lián)網(wǎng)的電腦都使用tcp/ip。但同時，netbeui 協(xié)議也還在局域網(wǎng)領(lǐng)域廣泛使用，因此，在你安裝 tcp/ip 協(xié)議時，netbios 也被 windows 作為默認(rèn)設(shè)置載入了你的電腦，而電腦隨即也具有了netbios 本身的開放性。換句話講，在不知不覺間，你的上網(wǎng)電腦已被打開了一個危險的“后門”。 netbios 的開放，意味著你的硬盤可能會在網(wǎng)絡(luò)中成為共享。對于網(wǎng)上四處游走的來講，他們可以通過 netbios 獲知

29、你電腦中的一切！顯然，這是很危險的！二：windows域簡介域英文叫domain域(domain)是windows網(wǎng)絡(luò)中獨立運行的單位，域之間相互訪問則需要建立信任關(guān)系(即trust relation)。信任關(guān)系是連接在域與域之間的橋梁。當(dāng)一個域與其他域建立了信任關(guān)系后，2個域之間不但可以按需要相互進行管理，還可以跨網(wǎng)分配文件 和打印機等設(shè)備資源，使不同的域之間實現(xiàn)網(wǎng)絡(luò)資源的共享與管理。 域既是 windows 網(wǎng)絡(luò)操作系統(tǒng)的邏輯組織單元，也是internet的邏輯組織單元，在 windows 網(wǎng)絡(luò)操作系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪

30、問或者管理其他的域;每個域都有自己的安全策 略，以及它與其他域的安全信任關(guān)系。其實上可以把域和工作組聯(lián)系起來理解,在工作組上你一切的設(shè)置在本機上進行包括各種策略，用戶登陸也是登陸在本機的，密碼是放在本機的數(shù)據(jù)庫來驗證的。 而如果你的計算機加入域的話，各種策略是域控制器統(tǒng)一設(shè)定，用戶名和密碼也是放到域控制器去驗證，也就是說你的賬號密碼可以在同一域的任何一臺計算機登陸 . 如果說工作組是“免費的旅店”那么域（domain）就是“星級的賓館”；工作組可以隨便出出 進進，而域則需要嚴(yán)格控制?！坝颉钡恼嬲x指的是服務(wù)器控制網(wǎng)絡(luò)上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴(yán)格的控制。所以實行嚴(yán)格

31、的管理 對網(wǎng)絡(luò)安全是非常必要的。在對等網(wǎng)模式下，任何一臺電腦只要接入網(wǎng)絡(luò)，其他機器就都可以訪問共享資源，如共享上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問 密碼，但是非常容易被破解。在由windows 9x構(gòu)成的對等網(wǎng)中，數(shù)據(jù)的傳輸是非常不安全的。 不過在“域”模式下，至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作，相當(dāng)于一個單位的門衛(wèi)一樣，稱為“域控制器（domain controller，簡寫為dc）”。 域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng) 絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否

32、正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個 用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護的資源，他只能以對等網(wǎng)用戶的方式訪問windows共享出來的資源，這樣就在一定程度 上保護了網(wǎng)絡(luò)上的資源。 要把一臺電腦加入域，僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的，必須要由網(wǎng)絡(luò)管理員進行相應(yīng)的設(shè)置，把這臺電腦加入到域中。這樣才能實現(xiàn)文件的共享，集中統(tǒng)一，便于管理。要建立域進行管理，首先需安裝域控制器（dc），dc上存儲著域中的信息資源，如名稱、位置和特性描述等信息。通過在一臺服務(wù)器上安裝活動目錄（ad），就會將這臺計算機安裝成dc。安裝條件1. 安裝者必

33、須具有本地管理員的權(quán)限。 2操作系統(tǒng)版本必須滿足條件（windows server2003除web以外的所有都滿足）。 3本地磁盤必須有一個ntfs文件系統(tǒng) 4有tcp/ip設(shè)置 5有相應(yīng)的dns服務(wù)器支持 6有足夠的可用空間域和組的區(qū)別工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現(xiàn)用戶驗證的。而域 不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經(jīng)建立了信任關(guān)系，在域內(nèi)訪問其他機器，不再需要被訪問機器的許可了。為什么是這 樣的呢？因為在加入域的時候，管理員為每個計算機在域中（可和用戶不在同一域

34、中）建立了一個計算機帳戶，這個帳戶和用戶帳戶一樣，也有密碼保護的?？墒谴?家要問了，我沒有輸入過什么密碼啊，是的，你確實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登錄票據(jù)，它是由2000的dc（域控制器）上的kdc 服務(wù)來頒發(fā)和維護的。為了保證系統(tǒng)的安全，kdc服務(wù)每30天會自動更新一次所有的票據(jù)，并把上次使用的票據(jù)記錄下來。周而復(fù)始。也就是說服務(wù)器始終保存 著2個票據(jù)，其有效時間是60天，60天后，上次使用的票據(jù)就會被系統(tǒng)丟棄。如果你的ghost備份里帶有的票據(jù)是60天的，那么該計算機將不能被kdc 服務(wù)驗證，從而系統(tǒng)將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方

35、法使將計算機脫離域并重新加入，kdc服務(wù)會重新設(shè)置這一票 據(jù)?；蛘呤褂?000資源包里的netdom命令強制重新設(shè)置安全票據(jù)。因此在有域的環(huán)境下，請盡量不要在計算機加入域后使用ghost備份系統(tǒng)分區(qū)，如 果作了，請在恢復(fù)時確認(rèn)備份是在60天內(nèi)作的，如果超出，就最好聯(lián)系你的系統(tǒng)管理員，你可以需要管理員重新設(shè)置計算機安全票據(jù)，否則你將不能登錄域環(huán)境。 域和工作組適用的環(huán)境不同，域一般是用在比較大的網(wǎng)絡(luò)里，工作組則較小，在一個域中需要一臺類 似服務(wù)器的計算機，叫域控服務(wù)器，其他電腦如果想互相訪問首先都是經(jīng)過它的，但是工作組則不同，在一個工作組里的所有計算機都是對等的，也就是沒有服務(wù)器 和客戶機之分的

36、，但是和域一樣，如果一臺計算機想訪問其他算機的話首先也要找到這個組中的一臺類似組控服務(wù)器，組控服務(wù)器不是固定的，以選舉的方式實現(xiàn)， 它存儲這這個組的相關(guān)信息，找到這臺計算機后得到組的信息然后訪問。第三章：samba服務(wù)器相關(guān)程序samba 有兩個服務(wù)器，一個是smb，另一個是nmb。smb 是samba 的主要啟動服務(wù)器，讓其它機器能知道此機器共享了什么；如果不打開nmb服務(wù)器的話，只能通過ip來訪問，比如在windows的ie瀏覽器上打入下面的一條來訪問；freedownfreedownthe num one而nmb是解析用的，解析了什么呢？就是把

37、這臺linux機器所共享的工作組及在此工作組下的netbios name解析出來； 一般的情況下，在rpm包的系統(tǒng)，如果是用rpm包安裝的samba ，一般可以通過如下的方式來啟動samba服務(wù)器；查看服務(wù)器是否運行起來了，則用下面的命令； rootlocalhost # pgrep smbdrootlocalhost # pgrep nmbdrootlocalhost # /etc/init.d/smb start / 以管理員身份打開 如果停止呢？就在smb后面加stop ；重啟就是restart ：rootlocalhost # /etc/init.d/smb stop / 以管理員身份

38、打開rootlocalhost # /etc/init.d/smb restart / 以管理員身份打開或者是如圖所示：對于所有系統(tǒng)來說，通用的辦法就是直接運行smb 和nmb；當(dāng)然您要知道smb和nmb所在的目錄才行；如果是自己編譯的samba 軟件，則需要輸入安裝所在的目錄路徑才行： rootlocalhost # /usr/sbin/smbd rootlocalhost # /usr/sbin/nmbd 查看服務(wù)器是否運行起來了，則用下面的命令； rootlocalhost # pgrep smbd rootlocalhost # pgrep nmbd 關(guān)掉samba服務(wù)器，也可以用下面

39、的辦法，大多是通用的；要root權(quán)限來執(zhí)行； rootlocalhost # pkill smbd rootlocalhost # pkill nmbd 三：samba的端口情況如圖所示：此種情況說明samba服務(wù)器已經(jīng)充分的做好了安裝工作和端口測試工作！初步成功！當(dāng)然下面更重要的是samba服務(wù)器的文件配置等工作。下續(xù)。敬請期待第五章：samba服務(wù)器的配置與管理一：配置smb.conf文件。如果我們是用linux發(fā)行版自帶的samba軟件包，一般情況下samba服務(wù)器的配置文件都位于/etc/samba目錄中，服務(wù)器的主配置文件是smb.conf；也有用戶配置文件 smbpasswd、sm

40、busers和lmhosts等（最好您查看一下這些文件的內(nèi)容）；還有一個文件是secrets.tdb，這個文件是samba 服務(wù)器啟動時自動生成的。然后找到配置文件：省下的就是文件的修改和保存這些在圖形界面下可以實現(xiàn)。所以 ，對于菜鳥級別的我而言還是比較省事點，當(dāng)然也可以vi 它，在命令行下：修改此文件的辦法如下：samba的配置文件是/etc/samba/smb.conf文件，這個文件可以根據(jù)您的需要通過配置它相關(guān)的參數(shù)來實現(xiàn)復(fù)雜或簡單的訪問控制。smb.conf的格式是有多個段，每段由段名開始，一直到下個段名，每個段名放在方括號中間，下面給出個smb.conf文件例子。 #more /us

41、r/local/samba/lib/smb.conf global workgroup = dabing netbios name =dabing-server server string = samba server log file = /usr/local/samba/var/log.%m security = user guest account = guest gcp docs comment = this is shared gcp docs path = /gcp guest ok = yes read only = no browseable = yes aaa docs co

42、mment = this is shared aaa docs path = /aaa guest ok = yes read only = no global段是全局變量，它設(shè)置了工作組，netbios名，安全參數(shù)security等參數(shù)，除了global段外，所有的段都可以看作是一個共享資源，段名是該共享資源的名字，而段里的參數(shù)就是共享資源的屬性。gcp docs 和aaa docs就是共享的目錄，它的參數(shù)可以設(shè)置共享目錄路徑和訪問控制權(quán)限等。在安裝完軟件包后，我們把/etc/samba/sbin 下面的3個應(yīng)用程序，nmbd，smbd，winbindd復(fù)制到/usr/local/samba/bin下面去。 samba server服務(wù)是 由3個守護進程組成， nmbdnetbios名稱服務(wù)器,該進程使用udp協(xié)議提供netbios名稱服務(wù)和瀏覽支持，處理命名注冊和決策請求。該進程應(yīng)當(dāng)是被首先啟動。 smbd smb服務(wù)器，使用tcp協(xié)議給smb客戶提供文件和打印服務(wù)；應(yīng)當(dāng)在nmbd進程后立即啟動。 winbindd當(dāng)samba服務(wù)器是windows nt 或 ads域中的成員時，此時當(dāng)啟動該守護進程。 通常在修改了配置文件smb.conf后，我們需要從新啟動這3個進程，以便參數(shù)的設(shè)置起效. 下面配置下到自動啟動腳本，我們可以自己寫個啟動的腳本，加入這3個進程（注意啟動