售后服務(wù)S服務(wù)攻略建設(shè)指南

1、售后服務(wù) S 服務(wù)攻略建設(shè)指南Samba 服務(wù)攻略建設(shè)指南1 安裝 Samba 服務(wù)1.1 Samba 所需軟件samba-*.rpm：該包為 Samba 服務(wù)的主程序包。服務(wù)器必須安裝該軟件包，后面的數(shù)字為版本號(hào)samba-client-*.rpm：該包為 Samba 的客戶(hù)端工具，是連接服務(wù)器和連接網(wǎng)上鄰居的客戶(hù)端工具并包含其測(cè)試工具samba-common-*.rpm：該包存放的是通用的工具和庫(kù)文件，無(wú)論是服務(wù)器還是客戶(hù)端都需要安裝該軟件包samba-swat-*.rpm：當(dāng)安裝了這個(gè)包以后，就可以通過(guò)瀏覽器（比如 IE 等哈）來(lái)對(duì) Samba服務(wù)器進(jìn)行圖形化管理1.2 Samba 的安

2、裝建議在安裝 Samba 服務(wù)之前，使用 rpm -qa 命令檢測(cè)系統(tǒng)是否安裝了 Samba 相關(guān)性軟件包： rpm -qa |grep samba如果系統(tǒng)還沒(méi)有安裝 Samba 軟件包，我們可以使用 rpm 命令安裝所需軟件包。安裝 Samba 主程序包：rpm -ivh samba-*.rpm安裝 Samba 客戶(hù)端工具：rpm -ivh samba-client-*.rpm安裝 Samba 通用工具和庫(kù)文件：rpm -ivh samba-common-*.rpm現(xiàn)在我們?cè)賮?lái)安裝 Samba 圖形化管理工具：rpm -ivh samba-swat-*.rpm現(xiàn)在我們看到 Samba 圖形化

3、管理工具安裝成功了哈所有軟件包安裝完畢之后，我們可以使用 rpm 命令進(jìn)行查詢(xún)：rpm -qa | grep samba2 Samba 常規(guī)服務(wù)器配置在 Samba 服務(wù)安裝完畢之后，并不是直接可以使用 Windows 或 Linux 的客戶(hù)端訪問(wèn) Samba 服務(wù)器哈，我們還必須對(duì)服務(wù)器進(jìn)行設(shè)置，下面需要做的操作就是說(shuō)我們要告訴 Samba 服務(wù)器將哪些目錄共享出來(lái)給客戶(hù)端進(jìn)行訪問(wèn)，并根據(jù)需要設(shè)置其他選項(xiàng)哈，比如添加對(duì)共享目錄內(nèi)容的簡(jiǎn)單描述信息和訪問(wèn)權(quán)限等具體設(shè)置。作為我們 Linux 系統(tǒng)工程師了解及熟悉 Samba 服務(wù)器的搭建流程是至關(guān)重要滴。基本的 Sam ba 服務(wù)器的搭建流程主要

4、分為四個(gè)步驟：1、編輯主配置文件 smb.conf,指定需要共享的目錄，并為共享目錄設(shè)置共享權(quán)限。 2、在 smb.conf 文件中指定日志文件名稱(chēng)和存放路徑。3、設(shè)置共享目錄的本地系統(tǒng)權(quán)限。4、重新加載配置文件或重新啟動(dòng) smb 服務(wù)，使用配置生效為了更好地理解設(shè)定流程中每一步的作用，下面通過(guò)一個(gè)圖例進(jìn)行講解Samba 工作流程：-(1)->-(2) >smb.conf 主配置文件客戶(hù)端Samba 服務(wù)器- (4)->-(3) >日志文件(1)客戶(hù)端請(qǐng)求訪問(wèn) Samba 服務(wù)器上的 Share 共享目錄。(2) Samba 服務(wù)器接收到請(qǐng)求后，會(huì)查詢(xún)主配置文件 smb

5、.conf，看是否共享了 Share 目錄，如果共享了這個(gè)目錄則查看客戶(hù)端是否有權(quán)限訪問(wèn)。(3)Samba 服務(wù)器會(huì)將本次訪問(wèn)信息記錄在日志文件之中，日志文件的名稱(chēng)和路徑都是需要我們?cè)O(shè)置。(4)如果客戶(hù)端滿(mǎn)足訪問(wèn)權(quán)限設(shè)置，則允許客戶(hù)端進(jìn)行訪問(wèn)。對(duì)于 Samba 服務(wù)器來(lái)說(shuō)，其主配置文件 smb.conf 記錄了共享的目錄列表。比如 share 目錄， temp 目錄等。對(duì)于每個(gè)共享目錄，需要配置相應(yīng)權(quán)限，服務(wù)器會(huì)根據(jù) smb.conf 文件中的設(shè)置，判斷客戶(hù)端是否有權(quán)限訪問(wèn)，只有擁有權(quán)限才可以訪問(wèn)服務(wù)器的資源。Samba 服務(wù)器同樣會(huì)對(duì)用戶(hù)的行為進(jìn)行記錄，每一次訪問(wèn)的信息都會(huì)記錄在日志文件中，

6、以便我們 Linux 管理員查詢(xún)哪些客戶(hù)端訪問(wèn)過(guò) Samba 服務(wù)器。2.1 主要配置文件 smb.confSamba 的配置文件一般就放在/etc/samba 目錄中，主配置文件名為 smb.conf。打開(kāi)文件：vim/etc/samba/smb.conf1、samba 配置簡(jiǎn)介smb.conf 文件的開(kāi)頭部分為 samba 配置簡(jiǎn)介，告訴我們 smb.conf 文件的作用及相關(guān)信息。 smb.conf 中以“#”開(kāi)頭的為注釋?zhuān)瑸橛脩?hù)提供相關(guān)的配置解釋信息，方便用戶(hù)參考，不用修改它哈。smb.conf 中還有以“;”開(kāi)頭滴，這些都是 samba 配置的格式范例，默認(rèn)是不生效滴，可以通過(guò)去掉前

7、面的“;”并加以修改來(lái)設(shè)置想使用的功能。2、Global SettingsGlobal Settings 設(shè)置為全局變量區(qū)域。全局變量就是說(shuō)我們只要在 global 時(shí)進(jìn)行設(shè)置，那么該設(shè)置項(xiàng)目就是針對(duì)所有共享資源生效滴，該部分以global開(kāi)始.smb.conf 配置通用格式，對(duì)相應(yīng)功能進(jìn)行設(shè)置：字段=設(shè)定值下面我們說(shuō)下global常用字段及設(shè)置方法：1）設(shè)置工作組或域名稱(chēng)工作組是網(wǎng)絡(luò)中地位平等的一組計(jì)算機(jī)，可以通過(guò)設(shè)置 workgroup 字段來(lái)對(duì) samba 服務(wù)器所在工作組或域名進(jìn)行設(shè)置。我們?cè)O(shè)置 samba 服務(wù)器的工作組為 WorkGroup2）服務(wù)器描述服務(wù)器描述實(shí)際上類(lèi)似于備注信

8、息哈，在一個(gè)工作組中，可能存在多臺(tái)服務(wù)器，為了方便用戶(hù)瀏覽，我們可以在 server string 配置相應(yīng)描述信息，這樣用戶(hù)就可以通過(guò)描述信息知道自己要登錄哪臺(tái)服務(wù)器了啊我們?cè)O(shè)置 samba 描述信息為“CentOs File Server”。3）設(shè)置 samba 服務(wù)器安全模式samba 服務(wù)器有 share、user、server、domain 和 ads 五種安全模式，用來(lái)適應(yīng)不同的企業(yè)服務(wù)器需求。（1）share 安全級(jí)別模式客戶(hù)端登錄 samba 服務(wù)器，不需要輸入用戶(hù)名和密碼就可以瀏覽 samba 服務(wù)器的資源，適用于公共的共享資源，安全性差，需要配合其他權(quán)限設(shè)置，保證 samb

9、a 服務(wù)器的安全性。（2）user 安全級(jí)別模式客戶(hù)端登錄 samba 服務(wù)器，需要提交合法帳號(hào)和密碼，經(jīng)過(guò)服務(wù)器驗(yàn)證才可以訪問(wèn)共享資源，服務(wù)器默認(rèn)為此級(jí)別模式。（3）server 安全級(jí)別模式客戶(hù)端需要將用戶(hù)名和密碼，提交到指定的一臺(tái) samba 服務(wù)器上進(jìn)行驗(yàn)證，如果驗(yàn)證出現(xiàn)錯(cuò)誤，客戶(hù)端會(huì)用 user 級(jí)別訪問(wèn)。（4）domain 安全級(jí)別模式如果 samba 服務(wù)器加入 windows 域環(huán)境中，驗(yàn)證工作服將由 windows 域控制器負(fù)責(zé)，domain級(jí)別的 samba 服務(wù)器只是成為域的成員客戶(hù)端，并不具備服務(wù)器的特性，samba 早期的版本就是使用此級(jí)別登錄 windows 域滴。

10、（5）ads 安全級(jí)別模式當(dāng) samba 服務(wù)器使用 ads 安全級(jí)別加入到 windows 域環(huán)境中，其就具備了 domain 安全級(jí)別模式中所有的功能并可以具備域控制器的功能。3、Share Definitions 共享服務(wù)的定義Share Definitions 設(shè)置對(duì)象為共享目錄和打印機(jī)，如果我們想發(fā)布共享資源，需要對(duì) Share Definitions 部分進(jìn)行配置。Share Definitions 字段非常豐富，設(shè)置靈活。我們先來(lái)講下幾個(gè)最常用的字段哈1）設(shè)置共享名共享資源發(fā)布后，必須為每個(gè)共享目錄或打印機(jī)設(shè)置不同的共享名，給網(wǎng)絡(luò)用戶(hù)訪問(wèn)時(shí)使用，并且共享名可以與原目錄名不同。共享

11、名設(shè)置非常簡(jiǎn)單：共享名我們來(lái)看個(gè)例子，Samba 服務(wù)器中有個(gè)目錄為/share，需要發(fā)布該目錄成為共享目錄，定義共享名為 public2）共享資源描述網(wǎng)絡(luò)中存在各種共享資源，為了方便用戶(hù)識(shí)別，可以為其添加備注信息，以方便用戶(hù)查看時(shí)知道共享資源的內(nèi)容是什么。格式：comment = 備注信息舉個(gè)例子哈,samba 服務(wù)器上有個(gè)/sales 目錄存放公司銷(xiāo)售部的數(shù)據(jù)，為了對(duì)公司部門(mén)員工進(jìn)行區(qū)分，可以添加備注信息。3）共享路徑共享資源的原始完整路徑，可以使用 path 字段進(jìn)行發(fā)布，務(wù)必正確指定。格式：path =絕對(duì)地址路徑samba 服務(wù)器上/share/tools 目錄存放常用工具軟件，需要

12、發(fā)布該目錄為共享，我們可以這樣做。4）設(shè)置匿名訪問(wèn)共享資源如果對(duì)匿名訪問(wèn)進(jìn)行設(shè)置，可以更改 public 字段。格式：public = yes#允許匿名訪問(wèn)public = no#禁止匿名訪問(wèn)samba 服務(wù)器/share 共享目錄允許匿名用戶(hù)訪問(wèn)，可以這樣設(shè)置。5）設(shè)置訪問(wèn)用戶(hù)如果共享資源存在重要數(shù)據(jù)的話(huà)，需要對(duì)訪問(wèn)用戶(hù)審核，我們可以使用 valid users 字段進(jìn)行設(shè)置。格式：valid users = 用戶(hù)名valid users = 組名我們來(lái)看下面一個(gè)例子哈，samba 服務(wù)器/share/tech 目錄存放了公司技術(shù)部數(shù)據(jù)，只允許技術(shù)部員工和經(jīng)理訪問(wèn)，技術(shù)部組為 tech,經(jīng)理

13、帳號(hào)為 gm6）設(shè)置目錄只讀共享目錄如果限制用戶(hù)的讀寫(xiě)操作，我們可以通過(guò) readonly 實(shí)現(xiàn)哈格式：readonly = yes#只讀 readonly = no#讀寫(xiě)samba 服務(wù)器公共目錄/public 存放大量共享數(shù)據(jù)，為保證目錄安全我們只允許讀取，禁止寫(xiě)入7）設(shè)置目錄可寫(xiě)如果共享目錄允許用戶(hù)寫(xiě)操作，可以使用 writable 或 write list 兩個(gè)字段進(jìn)行設(shè)置 writable 格式：writable = yes#讀寫(xiě)writable = no#只讀write list 格式： write list = 用戶(hù)名 write list = 組名注意：homes為特殊共享目錄

14、，表示用戶(hù)主目錄。 printers表示共享打印機(jī)。2.2 Samba 服務(wù)日志文件日志文件對(duì)于 samba 非常滴重要哈，它存儲(chǔ)著客戶(hù)端訪問(wèn) samba 服務(wù)器的信息，以及 samba服務(wù)的錯(cuò)誤提示信息等，可以通過(guò)分析日志，幫助解決客戶(hù)端訪問(wèn)和服務(wù)器維護(hù)等問(wèn)題。在/etc/samba/smb.conf 文件中，log file 為設(shè)置 samba 日志的字段。samba 服務(wù)的日志文件默認(rèn)存放在/var/log/samba/中，其中 samba 會(huì)為每個(gè)連接到 samba服務(wù)器的計(jì)算機(jī)分別建立日志文件。我們啟動(dòng) smb 服務(wù)：/etc/rc.d/init.d/smb start使用 ls -

15、a 命令可以查看日志的所有文件。其中，當(dāng) samba 服務(wù)器剛剛建立好后，只有兩個(gè)文件，分別是 nmbd.log 和 smbd.log，它們分別記錄 nmbd 和 smbd 進(jìn)程的運(yùn)行日志。nmbd.log 記錄 nmbd 進(jìn)程的解析信息。smbd.log 記錄用戶(hù)訪問(wèn) samba 服務(wù)器的問(wèn)題，以及服務(wù)器本身的錯(cuò)誤信息，可以通過(guò)該文件獲得大部分的 samba 維護(hù)信息。當(dāng)客戶(hù)端通過(guò)網(wǎng)絡(luò)訪問(wèn) samba 服務(wù)器后，會(huì)自動(dòng)添加客戶(hù)端的相關(guān)日志。2.3 Samba 服務(wù)密碼文件samba 服務(wù)器發(fā)布共享資源后，客戶(hù)端訪問(wèn) samba 服務(wù)器，需要提交用戶(hù)名和密碼進(jìn)行身份驗(yàn)證，驗(yàn)證合格后才可以登錄。

16、samba 服務(wù)為了實(shí)現(xiàn)客戶(hù)身份驗(yàn)證功能，將用戶(hù)名和密碼信息存放在/etc/samba/smbpasswd 中，在客戶(hù)端訪問(wèn)時(shí)，將用戶(hù)提交資料與 smbpasswd 存放的信息進(jìn)行比對(duì)，如果相同，并且 samba 服務(wù)器其他安全設(shè)置允許，客戶(hù)端與 samba 服務(wù)器連接才能建立成功那如何建立 samba 帳號(hào)呢？偶在說(shuō)之前先強(qiáng)調(diào)一點(diǎn)哈，samba 帳號(hào)并不能直接建立滴，需要先建立 Linux 同名的系統(tǒng)帳號(hào)。比如如果我們要建立一個(gè)名為 michael 的 samba 帳號(hào)，那 Linux系統(tǒng)中必須提前存在一個(gè)同名的 michael 系統(tǒng)帳號(hào)。samba 中添加帳號(hào)命令為 smbpasswd，命

17、令格式:smbpasswd -a 用戶(hù)名我們來(lái)測(cè)試下，在 samba 服務(wù)器中添加 samba 帳號(hào) redking,我們建立 samba 帳號(hào)之前必須先添加相對(duì)應(yīng)的系統(tǒng)帳號(hào)，使用 useradd 命令建立帳號(hào) redking，然后執(zhí)行 passwd 命令為帳號(hào) re dking 設(shè)置密碼哈最后我們添加 redking 用戶(hù)的 samba 帳號(hào)，執(zhí)行 smbpasswd 添加帳號(hào) redking到 samba 配置文件中。OK，Samba 帳號(hào)添加完畢哈，如果我們?cè)谔砑?samba 帳號(hào)時(shí)輸入完兩次密碼出錯(cuò)：Failed to modify password entry for user am

18、y，就像下面這樣這是因?yàn)?Linux 本地用戶(hù)里沒(méi)有 amy 這個(gè)用戶(hù)，我們?cè)谙到y(tǒng)里面添加一下就 OK 了 務(wù)必要注意在建立 samba 帳號(hào)之前，一定要先建立一個(gè)與 samba 帳號(hào)同名的系統(tǒng)帳號(hào)。我們經(jīng)過(guò)上面的設(shè)置，再次訪問(wèn) samba 共享文件時(shí)就可以使用 redking 或 amy 帳號(hào)訪問(wèn)了。注意：解決/etc/samba 目錄下沒(méi)有 smbpasswd 文件原因：samba 啟用了 tdbsam 驗(yàn)證。解決：smb.conf 文件中注釋掉 passdb backend = tdbsam 一行，加上 smb passwd file = /etc/ samba/smbpasswd，然后

19、保存退出。這樣再建立用戶(hù)就產(chǎn)生了/etc/samba/smbpasswd 文件了。使用 cat 命令查看 smbpasswd 文件滴內(nèi)容哈：cat /etc/samba/smbpasswd2.4 Samba 的啟動(dòng)與停止1）samba 服務(wù)的啟動(dòng)service smb start 或 /etc/rc.d/init.d/smb start2）samba 服務(wù)的停止service smb stop 或 /etc/rc.d/init.d/smb stop3）samba 服務(wù)的重啟service smb restart 或 /etc/rc.d/init.d/smb restart4）samba 服務(wù)配

20、置重新加載service smb reload 或 /etc/rc.d/init.d/smb reload注意：Linux 服務(wù)中，當(dāng)我們更改配置文件后，一定要記得重啟服務(wù)哈，讓服務(wù)重新加載配置文件，這樣新的配置才可以生效哈5）自動(dòng)加載 samba 服務(wù)chkconfig我們可以使用 chkconfig 命令自動(dòng)加載 smb 服務(wù):chkconfig -level 3 smb on#運(yùn)行級(jí)別 3 自動(dòng)加載chkconfig -level 3 smb off#運(yùn)行級(jí)別 3 不自動(dòng)加載3 舉例3.1 share 服務(wù)器實(shí)例及詳解上面已經(jīng)對(duì) samba 的相關(guān)性配置文件講了個(gè)大概哈，現(xiàn)在我們通過(guò)實(shí)例

21、來(lái)掌握一下 samba 具體使用流程來(lái)搭建 samba 服務(wù)器。如果公司現(xiàn)在用一個(gè)工作組 Workgroup 需要添加 samba 服務(wù)器作為文件服務(wù)器哈，并發(fā)布共享目錄/share，共享名為 public,這個(gè)共享目錄允許所有公司員工訪問(wèn)。我們分析下哈，這個(gè)案例屬于 samba 的基本配置，我們可以實(shí)用 share 安全級(jí)別模式，既然允許所有員工訪問(wèn)，則需要為每個(gè)用戶(hù)建立一個(gè) samba 帳號(hào)，那么如果公司擁有大量用戶(hù)呢？100 0 個(gè)用戶(hù)，100000 個(gè)用戶(hù)，一個(gè)個(gè)設(shè)置會(huì)非常滴麻煩哈，我們可以通過(guò)配置 security = share來(lái)讓所有用戶(hù)登錄時(shí)采用匿名帳戶(hù) nobody 訪問(wèn)，這

22、樣實(shí)現(xiàn)起來(lái)非常簡(jiǎn)單1） 修改 samba 主配置文件 smb.confvim /etc/samba/smb.conf(1).設(shè)置 samba 服務(wù)器工作組名為 Workgroup (2).添加 samba 服務(wù)器注釋信息為"File Server"(3).設(shè)置 samba 安全級(jí)別為 share 模式，允許用戶(hù)匿名訪問(wèn)#= Global Settings =global#Netwrok Related Options# workgroup = NT-Domain-Name or Workgroup-Name, eg: MIDEARTH # server string is

23、the equivalent of the NT De.ion field # netbios name can be used to specify a server name not tied to the hostname # Interfaces lets you configure Samba to use multiple interfaces# If you have multiple network interfaces then you can list the .es # you want to listen . (never omit localhost)# Hosts

24、Allow/Hosts Deny lets you restrict who can connect, and you can # specifiy it as a per share option as well#Server"workgroup = Workgroup#設(shè)置 samba 服務(wù)器工作組名為 Workgroup server string = File Server#添加 samba 服務(wù)器注釋信息為"File;netbios name = MYSERVER;interfaces = lo eth0 /24 /

25、24;hosts allow = 127. 192.168.12. 192.168.13.#Logging Options# Log File let you specify where to put logs and how to split them up. # Max Log Size let you specify the max size log files should reach # logs split per machine;log file = /var/log/samba/%m.log# max 50KB per log file, then rotate;max log

26、 size = 50#Standalone Server Options # Scurity can be set to user, share(deprecated) or server(deprecated) # Backend to store user information in. New installations should# use either tdbsam or ldapsam. smbpasswd is available for backwards # compatibility. tdbsam requires no further configuration.se

27、curity = share#設(shè)置 samba 安全級(jí)別為 share 模式，允許用戶(hù)匿名訪問(wèn);passdb backend = tdbsamsmb passwd file = /etc/samba/smbpasswd#Domain Members Options# Security must be set to domain or ads # Use the realm option .ly with security = ads# Specifies the Active Directory realm the host is part of # Backend to store user

28、 information in. New installations should# use either tdbsam or ldapsam. smbpasswd is available for backwards # compatibility. tdbsam requires no further configuration.#(4).設(shè)置共享目錄的共享名為 public (5).設(shè)置共享目錄的絕對(duì)路徑為/share (6).最后我們?cè)O(shè)置允許匿名訪問(wèn)哈設(shè)置完 smb.conf 后保存退出哈2）重新加載配置上面我們說(shuō)過(guò)哈，Linux 為了使新配置生效，需要重新加載配置，可以使用 rest

29、art 重新啟動(dòng)服務(wù)或者使用 reload 重新加載配置哈注意哈：偶這里強(qiáng)調(diào)一下細(xì)節(jié)，重啟 samba 服務(wù)，雖然可以讓配置生效，但是 restart 是先關(guān)閉 samba 服務(wù)，再開(kāi)啟服務(wù)哈，這樣如果在公司網(wǎng)絡(luò)運(yùn)營(yíng)中肯定會(huì)對(duì)客戶(hù)端員工的訪問(wèn)造成影響，建議使用 reload 命令重新加載配置文件使其生效，這樣不需要中斷服務(wù)就可以重新加載配置哈samba 服務(wù)器通過(guò)以上設(shè)置，現(xiàn)在用戶(hù)就可以不需要輸入帳號(hào)和密碼就可以直接登錄 samba 服務(wù)器并訪問(wèn) public 共享目錄我們測(cè)試下，在/share 目錄下建個(gè)文件試下：touch /share/test_sharemode_samba.tar我們

30、看下效果3.2 user 服務(wù)器實(shí)例及詳解上面的案例我們講了 share 安全級(jí)別模式的 samba 服務(wù)器哈，可以實(shí)現(xiàn)用戶(hù)方便滴通過(guò)匿名方式訪問(wèn)，但是如果在我們 samba 服務(wù)器上存在重要文件的目錄，為了保證系統(tǒng)安全性及資料保密性哈，我們就必須對(duì)用戶(hù)進(jìn)行篩選，允許或禁止相應(yīng)的用戶(hù)訪問(wèn)指定滴目錄哈，這里 share 安全級(jí)別模式就不能滿(mǎn)足我們這樣的實(shí)際要求了。實(shí)現(xiàn)用戶(hù)身份驗(yàn)證的方法很多，我們可以將安全級(jí)別模式配置為 user、server、domain 和 ads，但是最常用的還是 user 安全級(jí)別模式哈，下面偶就來(lái)看下 user 這個(gè)安全級(jí)別模式的配置如果公司有多個(gè)部門(mén)，因工作需要，我們

31、就會(huì)分門(mén)別類(lèi)的建立相應(yīng)部門(mén)的目錄，并將銷(xiāo)售部的資料存放在 samba 服務(wù)器的/companydata/sales/目錄下,集中管理，以便銷(xiāo)售人員瀏覽，并且該目錄只允許銷(xiāo)售部員工訪問(wèn)。我們分析下，在/companydata/sales/目錄中存放有銷(xiāo)售部的重要數(shù)據(jù)，為了保證其他部門(mén)無(wú)法查看其內(nèi)容，我們需要將全局配置中 security 設(shè)置為 user 安全級(jí)別，這樣就啟用了 samba服務(wù)器的身份驗(yàn)證機(jī)制，然后在共享目錄/companydata/sales 下設(shè)置 valid users 字段，配置只允許銷(xiāo)售部員工能夠訪問(wèn)這個(gè)共享目錄。1）添加銷(xiāo)售部用戶(hù)和組并添加相應(yīng) samba 帳號(hào)使用

32、groupadd 命令添加 sales 組，然后執(zhí)行 useradd 命令和 passwd 命令添加銷(xiāo)售部員工的帳號(hào)及密碼接下來(lái)為銷(xiāo)售部成員添加相應(yīng) samba 帳號(hào)2）修改 samba 主配置文件 smb.conf(1).設(shè)置 user 安全級(jí)別模式(2).設(shè)置銷(xiāo)售部共享目錄為 sales(3).指定共享目錄為絕對(duì)路徑為/companydata/sales (4).設(shè)置可以訪問(wèn)的用戶(hù)為 sales 組成員3）重新加載配置上個(gè)案例講過(guò)了哈，要讓修改后的 Linux 配置文件生效，我們就要重新加載配置。#service smb reload現(xiàn)在我們測(cè)試下輸入銷(xiāo)售部的帳號(hào)及密碼進(jìn)行登錄打開(kāi) sal

33、es 共享目錄這樣銷(xiāo)售部成員就可以進(jìn)行訪問(wèn) sales 共享目錄下的數(shù)據(jù)了4 Samba 高級(jí)服務(wù)器配置上面偶說(shuō)了下 samba 滴常規(guī)配置哈，這些已經(jīng)可以使用企業(yè)內(nèi)部滴資料通過(guò)網(wǎng)絡(luò)共享并分配適當(dāng)?shù)喂蚕頇?quán)限來(lái)管理共享目錄，但這僅僅對(duì)于很多大型企業(yè)或安全要求高滴來(lái)說(shuō)還是不能滿(mǎn)足其需求哈，所以偶下面就來(lái)講下 samba 滴高級(jí)服務(wù)器配置讓我們搭建滴 samba 服務(wù)器功能更強(qiáng)大，管理更靈活，我們滴數(shù)據(jù)也更安全4.1 用戶(hù)賬號(hào)映射前面已經(jīng)說(shuō)過(guò)，samba 的用戶(hù)帳號(hào)信息是保存在 smbpasswd 文件中滴，而且可以訪問(wèn) samba 服務(wù)器的帳號(hào)也必須對(duì)應(yīng)一個(gè)同名的系統(tǒng)帳號(hào)。基于這一點(diǎn)，所以哈，對(duì)于

34、一些 hacker 來(lái)說(shuō)，只要知道 samba 服務(wù)器滴 samba 帳號(hào)，就等于是知道了 Linux 系統(tǒng)帳號(hào)，只要 crack 其 samba 帳號(hào)密碼加以利用就可以攻擊 samba 服務(wù)器哈。所以我們要使用用戶(hù)帳號(hào)映射這個(gè)功能來(lái)解決這個(gè)問(wèn)題用戶(hù)帳號(hào)映射這個(gè)功能需要建立一個(gè)帳號(hào)映射關(guān)系表，里面記錄了 samba 帳號(hào)和虛擬帳號(hào)的對(duì)應(yīng)關(guān)系，客戶(hù)端訪問(wèn) samba 服務(wù)器時(shí)就使用虛擬來(lái)登錄。1）編輯主配置文件/etc/samba/smb.conf在 global 下添加一行字段 username map = /etc/samba/smbusers 開(kāi)啟用戶(hù)帳號(hào)映射功能。2）編輯/etc/sam

35、ba/smbuserssmbusers 文件保存帳號(hào)映射關(guān)系，其有固定滴格式：samba 帳號(hào) = 虛擬帳號(hào)（映射帳號(hào)）帳號(hào) redking 就是我們上面建立的 samba 帳號(hào)（同時(shí)也是 Linux 系統(tǒng)帳號(hào)），51cto 及 51blog就是映射滴帳號(hào)名（虛擬帳號(hào)），帳號(hào) redking 在我們?cè)L問(wèn)共享目錄時(shí)只要輸入 51cto 或 51blog就可以成功訪問(wèn)了，但是實(shí)際上訪問(wèn) samba 服務(wù)器的還是我們滴 redking 帳號(hào)，這樣一來(lái)就解決了安全問(wèn)題哈我們繼續(xù)。3）重啟 samba 服務(wù)：service smb restart4）驗(yàn)證效果輸入我們定義的映射帳號(hào) 51cto，注意我們沒(méi)

36、有輸入帳號(hào) redking 哈，映射帳號(hào) 51cto 滴密碼和 redking 帳號(hào)一樣哈現(xiàn)在就可以通過(guò)映射帳號(hào)瀏覽共享目錄了注意：強(qiáng)烈建議不要將 samba 用戶(hù)的密碼與本地系統(tǒng)用戶(hù)的密碼設(shè)置成一樣哈，可以避免非法用戶(hù)使用 samba 帳號(hào)登錄系統(tǒng)非法破壞哈4.2 客戶(hù)端訪問(wèn)控制對(duì)于 samba 服務(wù)器的安全性，我們已經(jīng)說(shuō)過(guò)可以使用 valid users 字段去實(shí)現(xiàn)用戶(hù)訪問(wèn)控制，但是如果企業(yè)龐大，存在大量用戶(hù)的話(huà)，這種方法操作起來(lái)就顯得比較麻煩哈比如 samba 服務(wù)器共享出一個(gè)目錄來(lái)訪問(wèn)，但是要禁止某個(gè) IP 子網(wǎng)或某個(gè)域的客戶(hù)端訪問(wèn)此資源，這樣滴情況使用 valid users 字段就

37、無(wú)法實(shí)現(xiàn)客戶(hù)端訪問(wèn)控制。下面我們就講下使用 hosts allow 和 hosts deny 兩個(gè)字段來(lái)實(shí)現(xiàn)該功能。而用好這兩個(gè)字段滴關(guān)鍵在于熟悉和清楚它們的使用方法和作用范圍哈hosts allow 和 hosts deny 的使用方法1）hosts allow 和 hosts deny 字段的使用 hosts allow 字段定義允許訪問(wèn)的客戶(hù)端 hosts deny 字段定義禁止訪問(wèn)的客戶(hù)端 2）使用 IP 地址進(jìn)行限制比如公司內(nèi)部 samba 服務(wù)器上共享了一個(gè)目錄 sales，這個(gè)目錄是存放銷(xiāo)售部的共享目錄，公司規(guī)定 /24 這個(gè)網(wǎng)段的 IP 地址禁止訪問(wèn)此 s

38、ales 共享目錄，但是其中 4這個(gè) IP 地址可以訪問(wèn)。先將安全級(jí)別模式由 user 改為 share這里我們添加 hosts deny 和 hosts allow 字段hosts deny = 192.168.0. 表示禁止所有來(lái)自 /24 網(wǎng)段的 IP 地址訪問(wèn)hosts allow = 4 表示允許 4 這個(gè) IP 地址訪問(wèn)當(dāng) host deny 和 hosts allow 字段同時(shí)出現(xiàn)并定義滴內(nèi)容相互沖突時(shí)，hosts allow 優(yōu)先?，F(xiàn)在設(shè)置的意思就是禁止 C 類(lèi)地址 /

39、24 網(wǎng)段主機(jī)訪問(wèn)，但是允許 4 主機(jī)訪問(wèn)。測(cè)試下效果，如果是 4 的客戶(hù)端就可以正常訪問(wèn)如果是其他客戶(hù)端滴話(huà)就是這樣的效果如果想同時(shí)禁止多個(gè)網(wǎng)段滴 IP 地址訪問(wèn)此服務(wù)器可以這樣設(shè)置hosts deny = 192.168.1. 172.16. 表示拒絕所有 網(wǎng)段和 網(wǎng)段的 IP地址訪問(wèn) sales 這個(gè)共享目錄。hosts allow = 10. 表示允許 網(wǎng)段的 IP 地址訪問(wèn) sales 這個(gè)共享目錄。注意：當(dāng)需要輸入多個(gè)網(wǎng)段 IP 地址的時(shí)候，需要使用“空格”符號(hào)隔開(kāi)。3）使用

40、域名進(jìn)行限制我們來(lái)看這樣一個(gè)例子哈，公司 samba 服務(wù)器上共享了一個(gè)目錄 public，公司規(guī)定 域和.net 域的客戶(hù)端不能訪問(wèn)，并且主機(jī)名為 free 的客戶(hù)端也不能訪問(wèn)。hosts deny = .net free 表示禁止 域和.net 域及主機(jī)名為 free 的客戶(hù)端訪問(wèn) public 這個(gè)共享目錄。注意：域名和域名之間或域名和主機(jī)名之間需要使用“空格”符號(hào)隔開(kāi)。4）使用通配符進(jìn)行訪問(wèn)控制samba 服務(wù)器共享了一個(gè)目錄 security，規(guī)定所有人不允許訪問(wèn)，只有主機(jī)名為 boss 的客戶(hù)端才可以訪問(wèn)。對(duì)于這樣一個(gè)實(shí)例哈，我們就可以通過(guò)使用通配符的方式來(lái)簡(jiǎn)化配置。hosts d

41、eny = All 表示所有客戶(hù)端，并不是說(shuō)允許主機(jī)名為 ALL 的客戶(hù)端可以訪問(wèn)哈常用的通配符還有“*”，“？”，“LOCAL”等。還有一種比較有意思的情況，如果我們規(guī)定所有人不能訪問(wèn) security 目錄，只允許 網(wǎng)段的 IP 地址可以訪問(wèn)，但是 00 及 8 的主機(jī)是要禁止訪問(wèn)滴。我們可以使用 hosts deny 禁止所有用戶(hù)訪問(wèn)，再設(shè)置 hosts allow 允許 網(wǎng)段主機(jī)，但當(dāng) hos ts deny 和 hosts allow 同時(shí)出現(xiàn)而且沖突滴時(shí)候，hosts allow 生效，如果這

42、樣滴話(huà)，那么允許 網(wǎng)段的 IP 地址可以訪問(wèn)，但是 00 及 8 的主機(jī)禁止訪問(wèn)就無(wú)法生效了哈我們可以使用 EXCEPT 進(jìn)行設(shè)置。hosts allow = 192.168.0. EXCEPT 00 8 表示允許 網(wǎng)段 IP地址訪問(wèn)，但是 00 和 8 除外哈hosts allow 和 hosts deny 的作用范圍hosts allow 和 hosts deny 設(shè)置在不同的位置上，它們的作用范圍是不一樣滴。如

43、果設(shè)置在glob al里面，表示對(duì) samba 服務(wù)器全局生效哈，如果設(shè)置在目錄下面，則表只對(duì)這個(gè)目錄生效。這樣設(shè)置表示只有 8 才可以訪問(wèn) samba 服務(wù)器，全局生效哈這樣設(shè)置就表示只對(duì)單一目錄 security 生效，只有 8 才可以訪問(wèn) security 目錄里面的資料。4.3 設(shè)置 Samba 的權(quán)限到這里我們已經(jīng)可以對(duì)客戶(hù)端訪問(wèn)進(jìn)行有效的控制，但是對(duì)于能訪問(wèn)的客戶(hù)端來(lái)說(shuō)，我們還是不能靈活方便滴控制他們?cè)L問(wèn)共享資源的權(quán)限，比如 boss 或 gm 這樣的帳號(hào)可以對(duì)某個(gè)共享目錄具有完全控制權(quán)限，其他帳號(hào)只有只讀權(quán)限哈，這樣的情況我們就可以使用

44、 write list 字段來(lái)實(shí)現(xiàn)哈例如公司 samba 服務(wù)器上有個(gè)共享目錄 tech，公司規(guī)定只有 boss 帳號(hào)和 tech 組的帳號(hào)可以完 全控制，其他人只有只讀權(quán)限。如果只用 writable 字段則無(wú)法滿(mǎn)足這個(gè)實(shí)例的要求，因?yàn)楫?dāng) writ able = yes 時(shí)，表示所有人都可以寫(xiě)入了哈，而當(dāng) writable = no 時(shí)表示所有人都不可以寫(xiě)入。這時(shí)我們就需要用到 write list 字段哈write list = boss,tech 就表示只有 boss 帳號(hào)和 tech 組成員才可以對(duì) tech 共享目錄有寫(xiě)入權(quán)限哈（其中tech 就表示 tech 組）。我們來(lái)看下 wr

45、itable 和 write list 之間的區(qū)別：字段值描述writable yes所有帳號(hào)都允許寫(xiě)入writable no所有帳號(hào)都禁止寫(xiě)入write list寫(xiě)入權(quán)限帳號(hào)列表列表中的帳號(hào)允許寫(xiě)入4.4 Samba 的隱藏共享我們還可以使用 browseable 字段實(shí)現(xiàn)隱藏共享的功能哈比如我們要把 samba 上的技術(shù)部共享目錄隱藏，我們可以這樣設(shè)置。browseable = no 表示隱藏該目錄現(xiàn)在就看不到 tech 共享目錄了哈如果我們直接輸入88tech 就可以訪問(wèn)了哈在有些特殊的情況下，browseable 也無(wú)法滿(mǎn)足企業(yè)的需求，比如，samba 服務(wù)器上有

46、個(gè) security目錄，此目錄只有 boss 用戶(hù)可以瀏覽訪問(wèn)，其他人都不可以訪問(wèn)。因?yàn)?samba 的主配置文件只有一個(gè)，所有帳號(hào)訪問(wèn)都要遵守該配置文件的規(guī)則，如果隱藏了該目錄，那么所有人就都看不到該目錄了，就像上面演示的一樣，要知道共享目錄名稱(chēng)后輸入88tech 才可以訪問(wèn)技術(shù)部資料。如果這樣滴目錄一多滴話(huà)，不可以叫 boss 去記那么多目錄名稱(chēng)哈，那樣還不被 bos s 罵死哈_問(wèn)題出在 samba 服務(wù)的主配置文件只有一個(gè)，而 smb.conf 沒(méi)有提供字段允許部分人可以瀏覽隱藏目錄的功能。那我們可以換個(gè)角度哈，既然單一滴配置文件無(wú)法實(shí)現(xiàn)要求，那么我們可以為不同

47、需求的用戶(hù)或組分別建立相應(yīng)的配置文件并單獨(dú)配置后實(shí)現(xiàn)其隱藏目錄的功能哈，現(xiàn)在我們?yōu)?boss 帳號(hào)建立一個(gè)配置文件，并且讓其訪問(wèn)的時(shí)候能夠讀取這個(gè)單獨(dú)的配置文件。（1）建立獨(dú)立滴配置文件哈先為 boss 帳號(hào)創(chuàng)建一個(gè)單獨(dú)的配置文件，我們可以直接復(fù)制/etc/samba/smb.conf 這個(gè)文件并改名就可以了，如果為單個(gè)用戶(hù)建立配置文件，命名時(shí)一定要包含用戶(hù)名哈。我們使用 cp 命令復(fù)制主配置文件，為 boss 帳號(hào)建立獨(dú)立的配置文件。（2）編輯 smb.conf 主配置文件哈在global中加入 config file = /etc/samba/smb.conf.%U，表示 samba 服務(wù)

48、器讀取/etc/samba/smb.conf.%U 文件，其中%U 代表當(dāng)前登錄用戶(hù)。命名規(guī)范與獨(dú)立配置文件匹配哈（3）編輯 smb.conf.boss 獨(dú)立配置文件編輯 boss 帳號(hào)的獨(dú)立配置文件 smb.conf.boss，將 tech 目錄里面的 browseable = no 刪除，這樣當(dāng) boss 帳號(hào)訪問(wèn) samba 時(shí)，tech 共享目錄對(duì) boss 帳號(hào)訪問(wèn)就是可見(jiàn)滴，這樣主配置文件 smb.conf 和 boss 帳號(hào)的獨(dú)立配置文件相搭配就有實(shí)現(xiàn)其他用戶(hù)訪問(wèn)時(shí) tech 共享目錄是隱藏滴，而 boss 帳號(hào)訪問(wèn)時(shí)就是可見(jiàn)滴。（4）重新啟動(dòng) samba 服務(wù)：service

49、smb restart（5）測(cè)試效果哈現(xiàn)在我們以普通用戶(hù) redking 帳號(hào)登錄 samba 服務(wù)器發(fā)現(xiàn)以 redking 帳號(hào)登錄 samba 看不到 tech 共享目錄哈證明 tech 共享目錄對(duì)除 boss 帳號(hào)以外的人是隱藏共享滴。現(xiàn)在我們以 boss 帳號(hào)登錄來(lái)看看哈我們發(fā)現(xiàn)以 boss 帳號(hào)登錄之后，tech 共享目錄自動(dòng)顯示了哈這樣以獨(dú)立配置文件的方法來(lái)實(shí)現(xiàn)隱藏共享對(duì)不同帳號(hào)的可見(jiàn)性非常方便哈注意：目錄隱藏了并不是說(shuō)不共享了，只要知道共享名，并且有相應(yīng)權(quán)限，還是可以訪問(wèn)滴，就像上面演示的一樣，可以輸入“IP 地址共享名”的方法就可以訪問(wèn)隱藏共享了。5 Samba 客戶(hù)端配置5.

50、1 Linux 客戶(hù)端訪問(wèn) Samba 共享linux 客戶(hù)端訪問(wèn)服務(wù)器主要有兩種方法1）使用 smbclient 命令在 Linux 中，samba 客戶(hù)端使用 smbclint 這個(gè)程序來(lái)訪問(wèn) samba 服務(wù)器時(shí)，先要確?？蛻?hù)端已經(jīng)安裝了 samba-client 這個(gè) rpm 包。smbclient 可以列出目標(biāo)主機(jī)共享目錄列表smbclient 命令格式：smbclient -L 目標(biāo) IP 地址或主機(jī)名 -U 登錄用戶(hù)名%密碼當(dāng)我們查看 rhel5(88)主機(jī)的共享目錄列表時(shí)，提示輸入密碼，這時(shí)候可以不輸入密碼哈，我們直接按回車(chē)，這樣表示匿名登錄，然后就會(huì)顯示

51、匿名用戶(hù)可以看到的共享目錄列表了哈smbclient -L rhel5 或者 smbclient -L 88如果想使用 samba 帳號(hào)相看 samba 服務(wù)器端共享了什么目錄，我們可以加上-U 參數(shù)哈，后面跟上用戶(hù)名%密碼。smbclient -L 88 -U boss%boss這樣就顯示了只有 boss 帳號(hào)才顯示的 tech 技術(shù)部共享目錄。注意：不同用戶(hù)使用 smblient 瀏覽的結(jié)果可能是不一樣滴，這要根據(jù)服務(wù)器設(shè)置的訪問(wèn)控制權(quán)限而定哈我們還可以在使用 smbclient 命令行共享訪問(wèn)模式瀏覽共享的資料哈 smbclient 命令行共享

52、訪問(wèn)模式命令格式：smbclient /目標(biāo) IP 地址或主機(jī)名/共享目錄 -U 用戶(hù)名%密碼上面已經(jīng)顯示了服務(wù)器上有一個(gè) tech 共享目錄，我們來(lái)查看一下里面的內(nèi)容哈另外 smbclient 登錄 samba 服務(wù)器后，我們可以使用 help 查詢(xún)所支持的命令。2）使用 mount 命令掛載共享目錄mount 命令掛載共享目錄格式：mount -t cifs /目標(biāo) IP 地址或主機(jī)名/共享目錄名稱(chēng) 掛載點(diǎn) -o username=用戶(hù)名 rootclient # mount -t cifs /88/tech /mnt/sambadata/ -o username=b

53、os s%boss這表示掛載 88 主機(jī)上的共享目錄 tech 到/mnt/sambadata 目錄下，cifs 就是 samba所使用的文件系統(tǒng)哈5.2 Windows 客戶(hù)端訪問(wèn) Samba 共享這個(gè)就比較簡(jiǎn)單了哈，我們也一直用這個(gè)訪問(wèn)微軟的共享目錄哈，上面其他也已經(jīng)講過(guò)了哈，方法就是在開(kāi)始運(yùn)行里面使用 UNC 路徑直接進(jìn)行訪問(wèn)哈也可以到網(wǎng)上鄰居里面找，但是偶不太喜歡用這個(gè)方法，因?yàn)樗俣忍?。還是覺(jué)得在開(kāi)始-運(yùn)行或是直接在資源管理器或 IE 的地址欄里面輸入 UNC 路徑比較快哈1）在開(kāi)始-運(yùn)行里面使用 UNC 路徑直接進(jìn)行訪問(wèn)2）映射網(wǎng)絡(luò)驅(qū)動(dòng)器訪問(wèn) samba 服

54、務(wù)器共享目錄輸入 tech 共享目錄的地址輸入可以訪問(wèn) tech 共享目錄的 samba 帳號(hào)和密碼這時(shí)在我的電腦的網(wǎng)絡(luò)驅(qū)動(dòng)器中就可以看到映射的 Z 盤(pán)了哈打開(kāi) Z 盤(pán)就可以訪問(wèn) tech 共享目錄里面的資源。6 Samba 的打印共享默認(rèn)情況下，samba 的打印服務(wù)是開(kāi)放滴所以我們只要把打印機(jī)安裝好后客戶(hù)端的用戶(hù)就可以使用打印機(jī)了。1）設(shè)置 global 配置項(xiàng)修改 smb.conf 全局配置，開(kāi)啟打印共享功能2）設(shè)置 printers 配置項(xiàng)使用默認(rèn)設(shè)置就可以讓客戶(hù)端正常使用權(quán)打印機(jī)了哈，需要注意的就是 printable 一定要設(shè)置成 yes 哈，如果不設(shè)置成 yes 那還打什么哈pa

55、th 字段定義打印機(jī)隊(duì)列，可以根據(jù)需要自己定制哈，另外共享打印和共享目錄不一樣哈，安裝完打印機(jī)后必須重新啟動(dòng) samba 服務(wù)，否則客戶(hù)端可能無(wú)法看到共享的打印機(jī)。如果設(shè)置只允許部分員工使用打印機(jī)，我們可以使用 validusers、hosts allow 或 hosts deny 字段來(lái)實(shí)現(xiàn)哈，這些在講共享目錄時(shí)已經(jīng)說(shuō)過(guò)了，不清楚可以再翻翻看哈下面進(jìn)入 samba 企業(yè)實(shí)戰(zhàn)與應(yīng)用。7 Samba 企業(yè)實(shí)戰(zhàn)與應(yīng)用7.1 企業(yè)環(huán)境及需求samba 服務(wù)器目錄：企業(yè)數(shù)據(jù)目錄：/companydata 公共目錄：/companydata/share銷(xiāo)售部目錄：/companydata/sales技術(shù)部：/companydata/tech企業(yè)員工情況：總經(jīng)理：gm銷(xiāo)售部：銷(xiāo)售部經(jīng)理 redking、員工 sky、員工 jane技術(shù)部：技術(shù)部經(jīng)理 michael、員工 bill、員工 joy搭建 samba 文件服務(wù)器，建立公共共享目錄