項目Samba跨平臺資源共享的管理課件

“十二五”職業(yè)教育國家規(guī)劃教材選題立項

RedHatEnterpriseLinux6.4（RHEL6.4）

教材附帶的光盤資源Linux網(wǎng)絡(luò)操作系統(tǒng)配置與管理教材主編：夏笠芹課程標準(教學(xué)大綱)教學(xué)設(shè)計方案(教案)PPT電子課件教材習(xí)題參考答案模擬試卷及參考答案(4套)IT認證+全國技能大賽資料知識拓展&網(wǎng)絡(luò)工程解決方案“十二五”職業(yè)教育國家規(guī)劃教材選題立項

RedHatEn項目7Samba跨平臺資源共享的管理【職業(yè)知識目標】了解:SMB協(xié)議；文件共享協(xié)議的基本概念和Samba服務(wù)的功能熟悉:Samba服務(wù)的工作流程,Samba配置文件中配置參數(shù)的設(shè)置；Samba服務(wù)器四種級別的配置方法掌握:

Samba的安裝、Samba服務(wù)器的命令管理,Samba客戶程序的使用,使用Windows和Linux進行共享資源的訪問；Samba虛擬用戶的配置；基于用戶或用戶組的獨立配置文件；配置Samba打印共享【職業(yè)能力目標】會安裝Samba服務(wù)的軟件包能配置可匿名訪問的文件共享能配置帶驗證的文件共享會配置虛擬用戶會配置隱藏共享目錄能搭建基于用戶或用戶組的獨立配置文件能在客戶端實現(xiàn)Linux與Windows資源互訪會配置Samba打印共享項目7Samba跨平臺資源共享的管理【職業(yè)知識目標】7.1項目描述目前,Windows和Linux操作系統(tǒng)各自擁有自己的用戶群和市場,一般的公司或?qū)W?？赡芡瑫r有Windows和Linux操作系統(tǒng)的主機。Windows主機彼此間可利用“網(wǎng)上鄰居”來訪問共享的資源,Samba則是在Windows主機與Linux主機間實現(xiàn)資源共享而架設(shè)的橋梁。如何把公司內(nèi)部的網(wǎng)上公共資源設(shè)置成既能方便訪問,又能保證訪問安全,還能高效管理,是網(wǎng)絡(luò)管理員的基本職責(zé)。為了存放和使用公司、部門以及個人的數(shù)據(jù)資料,在公司的網(wǎng)絡(luò)內(nèi)專門搭建了一臺文件服務(wù)器,并通過文件共享方式發(fā)布到網(wǎng)上,這樣公司員工都可以通過網(wǎng)絡(luò)訪問文件服務(wù)器中的文件夾或文件。但是這些文件夾或文件資源由于所有者和用途的不同,需要針對不同的用戶設(shè)置不同的訪問權(quán)限來保障資源的安全。

7.1項目描述目前,Windows和Linux操作系統(tǒng)各7.2項目知識準備7.2.1Samba簡介1．SMB/CIFS協(xié)議SMB協(xié)議是Microsoft和Intel在1987年開發(fā)的,通過該協(xié)議使得客戶端應(yīng)用程序可以在各種網(wǎng)絡(luò)環(huán)境下訪問服務(wù)器端的文件和打印機等資源,從而實現(xiàn)不同Windows系統(tǒng)主機之間的資源共享。7.2項目知識準備7.2.1Samba簡介7.2項目知識準備Samba是在Linux系統(tǒng)上對SMB/CIFS的具體實現(xiàn),通過Samba服務(wù)器的搭建和Samba客戶機軟件的安裝,就可以實現(xiàn)Linux系統(tǒng)主機和Windows主機之間的雙向文件和打印機的共享,7.2項目知識準備Samba是在Linux系統(tǒng)上對SMB/7.2項目知識準備2．Samba的主要功能①與Windows系統(tǒng)之間實現(xiàn)文件、CD-ROM、打印機等資源的雙向共享服務(wù)。②解析NetBIOS名字:Samba通過nmbd服務(wù)可以搭建NBNS(NetBIOSNameService)服務(wù)器,提供名稱解析,將計算機的NetBIOS名解析為IP地址,實現(xiàn)主機之間的訪問定位。③支持跨平臺訪問的身份驗證和權(quán)限設(shè)置,支持SSL(SecureSocketLayer,安全套接字層)。④samba服務(wù)器可作為網(wǎng)絡(luò)中的WINS服務(wù)器,甚至作為WindowsServer2003/2008域中的域控制器的一些功能。

7.2項目知識準備2．Samba的主要功能7.2項目知識準備3．Samba服務(wù)的工作過程7.2項目知識準備3．Samba服務(wù)的工作過程7.3項目實施任務(wù)7-1Samba服務(wù)的安裝與運行控制

1．Samba軟件包的組成samba-3.5.10-125.el6.i686.rpmSamba服務(wù)必須安裝的主程序包。samba-common-3.6.9-151.el6.i686.rpm服務(wù)器和Linux客戶端均必須要安裝的通用工具和庫文件。samba-client-3.6.9-151.el6.i686.rpm該包是Linux客戶端連接Samba服務(wù)器和網(wǎng)上鄰居的工具及測試軟件,Linux客戶機上必須安裝。samba-winbind-3.6.9-151.el6.i686s.rpm:使Samba服務(wù)器能成為Windows域的成員服務(wù)器,進而使得Linux能夠使用Windows域的帳戶完成非Samba身份驗證任務(wù)。samba-winbind-clients-3.6.9-151.el6.i686.rpm使Linux主機加入到Windows域,并使Windows域用戶能在Linux主機上以Linux用戶身份方式進行操作。7.3項目實施任務(wù)7-1Samba服務(wù)的安裝與運行控制2.檢查是否安裝Samba服務(wù)器#

rpm-qa|grepsamba

samba-winbind-clients-3.6.9-151.el6.i686samba-winbind-3.6.9-151.el6.i686samba-client-3.6.9-151.el6.i686samba4-libs-4.0.0-55.el6.rc4.i686samba-common-3.6.9-151.el6.i686RHEL6系統(tǒng)中默認未安裝Samba的主程序包

3.安裝Samba軟件包#mount/dev/cdrom/mnt#rpm-vih/mnt/Packages/samba-3.6.9-151.el6.i686.rpm任務(wù)7-1Samba服務(wù)的安裝與運行控制2.檢查是否安裝Samba服務(wù)器任務(wù)7-1Samba服務(wù)4．Samba服務(wù)的運行控制啟動、停止、重新啟動和重新加載Samba服務(wù)servicesmbstart|stop|restart|reload或/etc/rc.d/init.d/smbstart|stop|restart|reload開機自動啟動samba服務(wù)chkconfig--level345smbon|off或使用ntsysv工具配置開機自動啟動。任務(wù)7-1Samba服務(wù)的安裝與運行控制4．Samba服務(wù)的運行控制任務(wù)7-1Samba服務(wù)的安任務(wù)7-2認識Samba服務(wù)的配置文件1．Samba服務(wù)的配置文件文件說明/etc/samba/smb.conf主配置文件/etc/samba/lmhosts主機配置文件,用于本地解析NetBIOS名與對應(yīng)的IP,功能同/etc/hosts類似。在啟動Samba服務(wù)進程時能自動捕捉到網(wǎng)絡(luò)中相關(guān)IP地址對應(yīng)的NetBIOS名,并自動在lmhosts文件中添加這些映射關(guān)系,所以通常不需專門配置該文件/etc/samba/smbusers用戶文件,此文件提供了外部登錄名與本地用戶名的映射關(guān)系,便于Windows賬戶直接訪問Samba服務(wù)器/var/log/samba/該目錄用于存放Samba的日志文件任務(wù)7-2認識Samba服務(wù)的配置文件1．Samba服務(wù)任務(wù)7-2認識Samba服務(wù)的配置文件表7-2smb.conf主配置文件的主要組成部分

部分節(jié)/段落說明全局設(shè)置(GlobalSettings)[global]用于定義Samba服務(wù)器的總體特性,其配置項對所有共享資源生效共享定義(ShareDefinitions)[homes]用于設(shè)置用戶宿主目錄的共享屬性[printes]用于設(shè)置打印機共享資源的屬性[myshare]用于用戶自定義的共享目錄的共享屬性的設(shè)置(需自己添加,每個共享目錄對應(yīng)一節(jié))任務(wù)7-2認識Samba服務(wù)的配置文件表7-2smb任務(wù)7-2認識Samba服務(wù)的配置文件2．smb.conf文件中全局參數(shù)的設(shè)置類型配置項及默認值說明基本workgroup=MYGROUP設(shè)置Samba服務(wù)器所屬的工作組名或域名serverstring=SambaServerVersion%v表示在Windows客戶端啟動Samba服務(wù)器的內(nèi)容窗口后,所顯示的備注欄的信息,“Version%v”表示顯示Samba版本號;netbiosname=MYSERVER設(shè)置Samba服務(wù)器NETBIOS名稱,即在Windows網(wǎng)上鄰居中顯示出來的Samba服務(wù)器的名稱;interfaces=loeth0192.168.12.2/24192.168.13.2/24指定Samba服務(wù)器監(jiān)聽哪些網(wǎng)卡,若服務(wù)器上有多塊網(wǎng)卡應(yīng)配置此項?？梢詫懢W(wǎng)卡名或該網(wǎng)卡的IP地址日志;logfile=/var/log/samba/%m.log指定日志文件的存放位置,并為每個登錄服務(wù)器的用戶建立不同的日志文件,“%m”變量表示客戶端的主機名或IP地址;maxlogsize=50指定日志文件的最大容量,單位為KB,"0"代表無限制表7-3smb.conf全局設(shè)置主要配置項任務(wù)7-2認識Samba服務(wù)的配置文件2．smb.con任務(wù)7-2認識Samba服務(wù)的配置文件類型配置項及默認值說明安全security=user設(shè)置Samba服務(wù)器的安全級別;passwordserver=<NT-Server-Name>當Samba服務(wù)器的安全級別不是share或user時,用于指定驗證Samba用戶和口令的服務(wù)器名;hostsallow=127.192.168.12.192.168.13.設(shè)置可訪問Samba服務(wù)器的的主機、子網(wǎng)或網(wǎng)域,可用EXCEP排除某些IP地址。默認是全部允許usernamemap=/etc/samba/smbusers設(shè)置Linux用戶到Windows的用戶映射打印loadprinters=yes是否允許加載打印配置文件中的所有打印機,在開機時自動加載瀏覽列表,以支持客戶端的瀏覽功能cupsoption=

raw指定打印機系統(tǒng)的工作模式;printcapname=/etc/printcap設(shè)置開機時自動加載的打印機配置文件名稱和路徑;printing=cups設(shè)置打印機的類型.標準類型包括bsd、sysv、plp、lprng、aix、hpux、qnx、cups表7-3smb.conf全局設(shè)置主要配置項任務(wù)7-2認識Samba服務(wù)的配置文件類配置項及默認值說任務(wù)7-2認識Samba服務(wù)的配置文件Samba服務(wù)器的安全級別,按照安全性由低到高為以下四種取值:share:沒有安全性的級別,客戶端不需要輸入Samba用戶名和密碼就可訪問Samba服務(wù)器的共享資源。適用于公共的共享資源,安全性差,需要配合其他權(quán)限設(shè)置來保證samba服務(wù)器的安全性。user:是Samba服務(wù)器的默認安全級別。Samba服務(wù)器要求用戶在訪問共享資源之前資源必須先提供用戶名和密碼進行驗證。server:和user安全級別類似,但用戶名和密碼是遞交到另外一個Samba服務(wù)器或Windows服務(wù)器去驗證,此時必須指定負責(zé)驗證的那個服務(wù)器名稱。如果遞交失敗,就退到user安全級。domain:該安全級別要求網(wǎng)絡(luò)上存在一臺Windows的域控制器,samba把用戶名和密碼遞交給它去驗證,此時必須指定域控制服務(wù)器的NetBIOS名稱。ads:當samba服務(wù)器使用ads安全級別加入到windows域環(huán)境中,其就具備了domain安全級別模式中所有的功能并可以具備域控制器的功能。任務(wù)7-2認識Samba服務(wù)的配置文件Samba服務(wù)器的任務(wù)7-2認識Samba服務(wù)的配置文件3．smb.conf文件中共享定義的設(shè)置

要發(fā)布共享資源,需要對共享定義部分(ShareDefinitions)進行配置。共享定義通過[Homes]、[Printers]和[自定義目錄名]等節(jié)來說明共享資源的屬性。[homes]為特殊共享目錄,其名字不能改變。[homes]共享目錄并不特指具某個共享目錄,而是表示Samba用戶的宿主目錄,即Samba用戶登錄后可以訪問同名Linux系統(tǒng)用戶的宿主目錄中的內(nèi)容。默認情況下,用戶宿主目錄位于/home目錄下,每個用戶有一個以用戶名命名的子目錄。[printers]表示共享打印機。[printers]行也是特殊的行,不能修改其名字。若定義了[printers]段,用戶就可以連接在printcap文件里指定的打印機。要注意的是,若是設(shè)置共享打印機,則必須設(shè)置printable關(guān)鍵字語句為yes,否則用戶無法打印。任務(wù)7-2認識Samba服務(wù)的配置文件3．smb.con任務(wù)7-2認識Samba服務(wù)的配置文件表7-4smb.conf共享定義常用配置項配置項說明[用戶自定義的共享名]用戶訪問時通過此共享名來識別。也就是【網(wǎng)上鄰居】里面看見的文件夾的名字,可以與原目錄名不同。comment=備注信息設(shè)置共享目錄或打印機的說明信息path=絕對地址路徑指定共享目錄在Samba服務(wù)器中的絕對路徑public=yes|no是否允許匿名用戶訪問共享的文件夾或打印機資源guestok=yes|no連接共享資源時是否需要密碼validusers=用戶名或組名清單設(shè)置允許訪問的用戶或組成員,組名前面帶@,多個用戶名或組名以空格或逗號分隔readonly=yes|no設(shè)置共享目錄只讀還是可讀寫writable=yes|no指定共享目錄有寫入權(quán)限還是只讀權(quán)限(目錄本身是否可寫是前提),與readonly的作用相反writelist=用戶名或組名清單設(shè)置對共享目錄具有可讀寫權(quán)限的用戶名或組名。,組名前面帶@,多個用戶名或組名以空格或逗號分隔,writelist要生效的話,writeable設(shè)置成nobrowseable=yes|no設(shè)置共享目錄在“網(wǎng)上鄰居”中是否可見(默認為no即隱藏共享目錄)printable=yes|no是否允許打印createmask=文件權(quán)限值設(shè)置用戶在共享目錄下創(chuàng)建的文件的默認訪問權(quán)限。通常是以數(shù)字表示的,如0664,代表的是文件所有者對新創(chuàng)建的文件具有可讀可寫權(quán)限,其他用戶具有可讀權(quán)限,而所屬主要組成員不具有任何訪問權(quán)限。directorymask=子目錄權(quán)限值設(shè)置用戶在共享目錄下創(chuàng)建的子目錄的默認訪問權(quán)限任務(wù)7-2認識Samba服務(wù)的配置文件表7-4smb任務(wù)7-2認識Samba服務(wù)的配置文件4．smb.conf文件的測試在完成smb.conf文件所有配置后,可使用testparm命令測試配置文件中的語法是否正確。若顯示"LoadedservicesfileOK."信息表示配置文件的語法是正確的,再按【Enter】鍵,會顯示主配置文件當前有效的配置清單。任務(wù)7-2認識Samba服務(wù)的配置文件4．smb.con任務(wù)7-3配置可匿名訪問的文件共享在share安全級別下的Samba服務(wù)器允許匿名訪問(不需要客戶端提供用戶名和密碼)其共享資源,對于安全性要求不高的小型網(wǎng)絡(luò),是一種方便實用的可選方案?！纠?-1】在Samba服務(wù)器上發(fā)布目錄“/usr/share/mydoc”為公共共享文件夾,共享名為public_doc,允許除172.16.102.222以外的172.16.102.0網(wǎng)段中的所有用戶訪問,可以寫入文件,但是不可以刪除或修改其他用戶的文件。任務(wù)7-3配置可匿名訪問的文件共享在share安全級別下任務(wù)7-3配置可匿名訪問的文件共享步驟1:創(chuàng)建目錄/usr/share/mydoc并設(shè)置其訪問權(quán)限。步驟2:修改samba主配置文件smb.conf。步驟3:重新啟動SMB使配置生效。步驟4:確保服務(wù)器防火墻開放TCP139端口和UDP137、138端口。步驟5:修改SELinux。步驟6:測試。任務(wù)7-3配置可匿名訪問的文件共享步驟1:創(chuàng)建目錄/us任務(wù)7-4配置帶驗證的文件共享對于重要文件的目錄,為了保證系統(tǒng)安全性及資料保密性,就必須對用戶進行篩選,允許或禁止相應(yīng)的用戶訪問指定目錄。實現(xiàn)用戶身份驗證的途徑可以通過將安全級別配置為user、server和domain來實現(xiàn)。下面以最常用的user安全級別為例說明其配置過程。【例7-2】學(xué)校按部門在Samba服務(wù)器中建立相應(yīng)部門的目錄,要求教務(wù)處(jwc)和學(xué)生處(xsc)只可以校長(rector)和相應(yīng)部門員工訪問,禁止非本部門員工的訪問。任務(wù)7-4配置帶驗證的文件共享對于重要文件的目錄,為了保任務(wù)7-4配置帶驗證的文件共享步驟1:按部門創(chuàng)建Linux系統(tǒng)用戶、組。步驟2:建立相應(yīng)的Samba用戶賬號。步驟3:創(chuàng)建各部門相應(yīng)的目錄并規(guī)劃其權(quán)限步驟4:修改samba主配置文件smb.conf。步驟5:重新加載配置,使修改后的配置文件生效。步驟6:測試任務(wù)7-4配置帶驗證的文件共享步驟1:按部門創(chuàng)建Linu任務(wù)7-5Samba服務(wù)器擴展功能配置1．虛擬用戶的配置隱藏系統(tǒng)真實用戶,減少密碼窮舉攻擊的風(fēng)險。真實用戶與虛擬用戶的映射關(guān)系通過“/etc/samba/smbusers”文件來定義和保存。配置步驟如下:步驟1:編輯主配置文件,開啟用戶賬號映射功能。[root@dyzx~]#vim/etc/samba/smb.conf//在[global]中添加以下配置行:usernamemap=/etc/samba/smbusers//開啟用戶賬號映射功能步驟2:編輯/etc/samba/smbuserssmbusers文件中定義賬號映射關(guān)系的格式為:samba用戶=虛擬用戶[,虛擬用戶…]步驟3:重啟Samba服務(wù)步驟4:驗證。任務(wù)7-5Samba服務(wù)器擴展功能配置1．虛擬用戶的配置任務(wù)7-5Samba服務(wù)器擴展功能配置2．隱藏共享目錄的配置使用browseable字段可實現(xiàn)隱藏共享的功能共享目錄隱藏了并不是說不共享了,只要知道共享名,并且有相應(yīng)權(quán)限,在Windows客戶端可以在地址欄中輸入“\\IP地址\共享名”來訪問隱藏共享。[root@dyzx~]#vim/etc/samba/smb.conf…[sales_doc]comment=salesdatapath=/usr/share/salesvalidusers=ceo@salesbrowseable=no //設(shè)置隱藏sales目錄[root@dyzx~]#servicesmbrestart任務(wù)7-5Samba服務(wù)器擴展功能配置2．隱藏共享目錄任務(wù)7-5Samba服務(wù)器擴展功能配置3．搭建基于用戶或用戶組的獨立配置文件步驟1:建立獨立的配置文件。[root@dyzx~]#cd/etc/samba/[root@dyzx~]#cpsmb.confsmb.conf.ceo步驟2:編輯smb.conf主配置文件在[global]中加入configfile=/etc/samba/smb.conf.%U,表示samba服務(wù)器讀取/etc/samba/smb.conf.%U文件,其中%U代表當前登錄用戶[root@dyzx~]#vim/etc/samba/smb.conf[global]configfile=/etc/samba/smb.conf.%U //添加此行…………步驟3:編輯smb.conf.ceo獨立配置文件編輯ceo賬號的獨立配置文件smb.conf.ceo,將定義[sales_doc]共享目錄里面的browseable=no刪除,其余配置不變。步驟4:重新啟動samba服務(wù)

任務(wù)7-5Samba服務(wù)器擴展功能配置3．搭建基于用戶任務(wù)7-6Linux與Windows資源互訪1．在Linux客戶端訪問共享目錄1)Linux客戶端的安裝在Linux客戶端登錄訪問Samba服務(wù)器或Windows主機時,首先要確保該Linux客戶端已經(jīng)安裝了samba-client軟件包。2)Linux客戶端訪問samba服務(wù)器Linux客戶端訪問samba服務(wù)器或Windows主機主要有以下兩種方法(1)使用smbclient工具登錄到共享目錄所在主機其使用的形式有如下幾種情況:任務(wù)7-6Linux與Windows資源互訪1．在Li任務(wù)7-6Linux與Windows資源互訪1．在Linux客戶端訪問共享目錄(1)使用smbclient工具登錄到共享目錄所在主機其使用的形式有如下幾種情況:①查看服務(wù)器中的共享資源smbclient-L目標IP地址或主機名-U登錄用戶名%密碼②瀏覽、上傳下載服務(wù)器中的共享資源smbclient//目標IP地址或主機名/共享目錄-U用戶名%密碼(2)利用mount命令將共享目錄掛載到本地使用mount//目標IP或主機名/共享目錄名掛載點-ousername=用戶名%密碼任務(wù)7-6Linux與Windows資源互訪1．在Li任務(wù)7-6Linux與Windows資源互訪2．Windows客戶端訪問Samba服務(wù)器中的共享目錄在Windows客戶端上,不需要另外安裝任何軟件,并且訪問Samba服務(wù)器中的共享目錄與訪問其他Windows主機提供的共享目錄,使用的方法完全相同?？梢栽凇具\行】對話框、資源管理器的地址欄、IE瀏覽器的地址欄中直接輸入UNC路徑實現(xiàn)訪問Samba服務(wù)器中的共享目錄,也可通過【網(wǎng)上鄰居】瀏覽的方式找到Samba服務(wù)器,然后再訪問共享資源。在任務(wù)7-2的配置驗證測試中,已有具體舉例,在此不再贅述。任務(wù)7-6Linux與Windows資源互訪2．Win任務(wù)7-7配置Samba打印共享1．設(shè)置global配置項修改smb.conf全局配置,開啟打印共享功能。[root@dyzx~]#vim/etc/samba/smb.conf[global]…………loadprinters=yescupsoptions=rawprintcapname=/etc/printcapprinting=cups2．設(shè)置printers配置項[root@dyzx~]#vim/etc/samba/smb.conf[printers]comment=AllPrinterspath=/var/spool/sambabrowseable=noguestok=nowritable=noprintable=yes任務(wù)7-7配置Samba打印共享1．設(shè)置global配項目小結(jié)項目知識準備Samba簡介項目實施任務(wù)7-1Samba服務(wù)的安裝與運行控制任務(wù)7-2認識Samba服務(wù)的配置文件任務(wù)7-3配置可匿名訪問的文件共享任務(wù)7-4配置帶驗證的文件共享任務(wù)7-5Samba服務(wù)器擴展功能配置任務(wù)7-6Linux與Windows資源互訪任務(wù)7-7配置Samba打印共享項目小結(jié)項目知識準備“十二五”職業(yè)教育國家規(guī)劃教材選題立項

RedHatEnterpriseLinux6.4（RHEL6.4）

教材附帶的光盤資源Linux網(wǎng)絡(luò)操作系統(tǒng)配置與管理教材主編：夏笠芹課程標準(教學(xué)大綱)教學(xué)設(shè)計方案(教案)PPT電子課件教材習(xí)題參考答案模擬試卷及參考答案(4套)IT認證+全國技能大賽資料知識拓展&網(wǎng)絡(luò)工程解決方案“十二五”職業(yè)教育國家規(guī)劃教材選題立項

RedHatEn項目7Samba跨平臺資源共享的管理【職業(yè)知識目標】了解:SMB協(xié)議；文件共享協(xié)議的基本概念和Samba服務(wù)的功能熟悉:Samba服務(wù)的工作流程,Samba配置文件中配置參數(shù)的設(shè)置；Samba服務(wù)器四種級別的配置方法掌握:

Samba的安裝、Samba服務(wù)器的命令管理,Samba客戶程序的使用,使用Windows和Linux進行共享資源的訪問；Samba虛擬用戶的配置；基于用戶或用戶組的獨立配置文件；配置Samba打印共享【職業(yè)能力目標】會安裝Samba服務(wù)的軟件包能配置可匿名訪問的文件共享能配置帶驗證的文件共享會配置虛擬用戶會配置隱藏共享目錄能搭建基于用戶或用戶組的獨立配置文件能在客戶端實現(xiàn)Linux與Windows資源互訪會配置Samba打印共享項目7Samba跨平臺資源共享的管理【職業(yè)知識目標】7.1項目描述目前,Windows和Linux操作系統(tǒng)各自擁有自己的用戶群和市場,一般的公司或?qū)W?？赡芡瑫r有Windows和Linux操作系統(tǒng)的主機。Windows主機彼此間可利用“網(wǎng)上鄰居”來訪問共享的資源,Samba則是在Windows主機與Linux主機間實現(xiàn)資源共享而架設(shè)的橋梁。如何把公司內(nèi)部的網(wǎng)上公共資源設(shè)置成既能方便訪問,又能保證訪問安全,還能高效管理,是網(wǎng)絡(luò)管理員的基本職責(zé)。為了存放和使用公司、部門以及個人的數(shù)據(jù)資料,在公司的網(wǎng)絡(luò)內(nèi)專門搭建了一臺文件服務(wù)器,并通過文件共享方式發(fā)布到網(wǎng)上,這樣公司員工都可以通過網(wǎng)絡(luò)訪問文件服務(wù)器中的文件夾或文件。但是這些文件夾或文件資源由于所有者和用途的不同,需要針對不同的用戶設(shè)置不同的訪問權(quán)限來保障資源的安全。

7.1項目描述目前,Windows和Linux操作系統(tǒng)各7.2項目知識準備7.2.1Samba簡介1．SMB/CIFS協(xié)議SMB協(xié)議是Microsoft和Intel在1987年開發(fā)的,通過該協(xié)議使得客戶端應(yīng)用程序可以在各種網(wǎng)絡(luò)環(huán)境下訪問服務(wù)器端的文件和打印機等資源,從而實現(xiàn)不同Windows系統(tǒng)主機之間的資源共享。7.2項目知識準備7.2.1Samba簡介7.2項目知識準備Samba是在Linux系統(tǒng)上對SMB/CIFS的具體實現(xiàn),通過Samba服務(wù)器的搭建和Samba客戶機軟件的安裝,就可以實現(xiàn)Linux系統(tǒng)主機和Windows主機之間的雙向文件和打印機的共享,7.2項目知識準備Samba是在Linux系統(tǒng)上對SMB/7.2項目知識準備2．Samba的主要功能①與Windows系統(tǒng)之間實現(xiàn)文件、CD-ROM、打印機等資源的雙向共享服務(wù)。②解析NetBIOS名字:Samba通過nmbd服務(wù)可以搭建NBNS(NetBIOSNameService)服務(wù)器,提供名稱解析,將計算機的NetBIOS名解析為IP地址,實現(xiàn)主機之間的訪問定位。③支持跨平臺訪問的身份驗證和權(quán)限設(shè)置,支持SSL(SecureSocketLayer,安全套接字層)。④samba服務(wù)器可作為網(wǎng)絡(luò)中的WINS服務(wù)器,甚至作為WindowsServer2003/2008域中的域控制器的一些功能。

7.2項目知識準備2．Samba的主要功能7.2項目知識準備3．Samba服務(wù)的工作過程7.2項目知識準備3．Samba服務(wù)的工作過程7.3項目實施任務(wù)7-1Samba服務(wù)的安裝與運行控制

1．Samba軟件包的組成samba-3.5.10-125.el6.i686.rpmSamba服務(wù)必須安裝的主程序包。samba-common-3.6.9-151.el6.i686.rpm服務(wù)器和Linux客戶端均必須要安裝的通用工具和庫文件。samba-client-3.6.9-151.el6.i686.rpm該包是Linux客戶端連接Samba服務(wù)器和網(wǎng)上鄰居的工具及測試軟件,Linux客戶機上必須安裝。samba-winbind-3.6.9-151.el6.i686s.rpm:使Samba服務(wù)器能成為Windows域的成員服務(wù)器,進而使得Linux能夠使用Windows域的帳戶完成非Samba身份驗證任務(wù)。samba-winbind-clients-3.6.9-151.el6.i686.rpm使Linux主機加入到Windows域,并使Windows域用戶能在Linux主機上以Linux用戶身份方式進行操作。7.3項目實施任務(wù)7-1Samba服務(wù)的安裝與運行控制2.檢查是否安裝Samba服務(wù)器#

rpm-qa|grepsamba

samba-winbind-clients-3.6.9-151.el6.i686samba-winbind-3.6.9-151.el6.i686samba-client-3.6.9-151.el6.i686samba4-libs-4.0.0-55.el6.rc4.i686samba-common-3.6.9-151.el6.i686RHEL6系統(tǒng)中默認未安裝Samba的主程序包

3.安裝Samba軟件包#mount/dev/cdrom/mnt#rpm-vih/mnt/Packages/samba-3.6.9-151.el6.i686.rpm任務(wù)7-1Samba服務(wù)的安裝與運行控制2.檢查是否安裝Samba服務(wù)器任務(wù)7-1Samba服務(wù)4．Samba服務(wù)的運行控制啟動、停止、重新啟動和重新加載Samba服務(wù)servicesmbstart|stop|restart|reload或/etc/rc.d/init.d/smbstart|stop|restart|reload開機自動啟動samba服務(wù)chkconfig--level345smbon|off或使用ntsysv工具配置開機自動啟動。任務(wù)7-1Samba服務(wù)的安裝與運行控制4．Samba服務(wù)的運行控制任務(wù)7-1Samba服務(wù)的安任務(wù)7-2認識Samba服務(wù)的配置文件1．Samba服務(wù)的配置文件文件說明/etc/samba/smb.conf主配置文件/etc/samba/lmhosts主機配置文件,用于本地解析NetBIOS名與對應(yīng)的IP,功能同/etc/hosts類似。在啟動Samba服務(wù)進程時能自動捕捉到網(wǎng)絡(luò)中相關(guān)IP地址對應(yīng)的NetBIOS名,并自動在lmhosts文件中添加這些映射關(guān)系,所以通常不需專門配置該文件/etc/samba/smbusers用戶文件,此文件提供了外部登錄名與本地用戶名的映射關(guān)系,便于Windows賬戶直接訪問Samba服務(wù)器/var/log/samba/該目錄用于存放Samba的日志文件任務(wù)7-2認識Samba服務(wù)的配置文件1．Samba服務(wù)任務(wù)7-2認識Samba服務(wù)的配置文件表7-2smb.conf主配置文件的主要組成部分

部分節(jié)/段落說明全局設(shè)置(GlobalSettings)[global]用于定義Samba服務(wù)器的總體特性,其配置項對所有共享資源生效共享定義(ShareDefinitions)[homes]用于設(shè)置用戶宿主目錄的共享屬性[printes]用于設(shè)置打印機共享資源的屬性[myshare]用于用戶自定義的共享目錄的共享屬性的設(shè)置(需自己添加,每個共享目錄對應(yīng)一節(jié))任務(wù)7-2認識Samba服務(wù)的配置文件表7-2smb任務(wù)7-2認識Samba服務(wù)的配置文件2．smb.conf文件中全局參數(shù)的設(shè)置類型配置項及默認值說明基本workgroup=MYGROUP設(shè)置Samba服務(wù)器所屬的工作組名或域名serverstring=SambaServerVersion%v表示在Windows客戶端啟動Samba服務(wù)器的內(nèi)容窗口后,所顯示的備注欄的信息,“Version%v”表示顯示Samba版本號;netbiosname=MYSERVER設(shè)置Samba服務(wù)器NETBIOS名稱,即在Windows網(wǎng)上鄰居中顯示出來的Samba服務(wù)器的名稱;interfaces=loeth0192.168.12.2/24192.168.13.2/24指定Samba服務(wù)器監(jiān)聽哪些網(wǎng)卡,若服務(wù)器上有多塊網(wǎng)卡應(yīng)配置此項?？梢詫懢W(wǎng)卡名或該網(wǎng)卡的IP地址日志;logfile=/var/log/samba/%m.log指定日志文件的存放位置,并為每個登錄服務(wù)器的用戶建立不同的日志文件,“%m”變量表示客戶端的主機名或IP地址;maxlogsize=50指定日志文件的最大容量,單位為KB,"0"代表無限制表7-3smb.conf全局設(shè)置主要配置項任務(wù)7-2認識Samba服務(wù)的配置文件2．smb.con任務(wù)7-2認識Samba服務(wù)的配置文件類型配置項及默認值說明安全security=user設(shè)置Samba服務(wù)器的安全級別;passwordserver=<NT-Server-Name>當Samba服務(wù)器的安全級別不是share或user時,用于指定驗證Samba用戶和口令的服務(wù)器名;hostsallow=127.192.168.12.192.168.13.設(shè)置可訪問Samba服務(wù)器的的主機、子網(wǎng)或網(wǎng)域,可用EXCEP排除某些IP地址。默認是全部允許usernamemap=/etc/samba/smbusers設(shè)置Linux用戶到Windows的用戶映射打印loadprinters=yes是否允許加載打印配置文件中的所有打印機,在開機時自動加載瀏覽列表,以支持客戶端的瀏覽功能cupsoption=

raw指定打印機系統(tǒng)的工作模式;printcapname=/etc/printcap設(shè)置開機時自動加載的打印機配置文件名稱和路徑;printing=cups設(shè)置打印機的類型.標準類型包括bsd、sysv、plp、lprng、aix、hpux、qnx、cups表7-3smb.conf全局設(shè)置主要配置項任務(wù)7-2認識Samba服務(wù)的配置文件類配置項及默認值說任務(wù)7-2認識Samba服務(wù)的配置文件Samba服務(wù)器的安全級別,按照安全性由低到高為以下四種取值:share:沒有安全性的級別,客戶端不需要輸入Samba用戶名和密碼就可訪問Samba服務(wù)器的共享資源。適用于公共的共享資源,安全性差,需要配合其他權(quán)限設(shè)置來保證samba服務(wù)器的安全性。user:是Samba服務(wù)器的默認安全級別。Samba服務(wù)器要求用戶在訪問共享資源之前資源必須先提供用戶名和密碼進行驗證。server:和user安全級別類似,但用戶名和密碼是遞交到另外一個Samba服務(wù)器或Windows服務(wù)器去驗證,此時必須指定負責(zé)驗證的那個服務(wù)器名稱。如果遞交失敗,就退到user安全級。domain:該安全級別要求網(wǎng)絡(luò)上存在一臺Windows的域控制器,samba把用戶名和密碼遞交給它去驗證,此時必須指定域控制服務(wù)器的NetBIOS名稱。ads:當samba服務(wù)器使用ads安全級別加入到windows域環(huán)境中,其就具備了domain安全級別模式中所有的功能并可以具備域控制器的功能。任務(wù)7-2認識Samba服務(wù)的配置文件Samba服務(wù)器的任務(wù)7-2認識Samba服務(wù)的配置文件3．smb.conf文件中共享定義的設(shè)置

要發(fā)布共享資源,需要對共享定義部分(ShareDefinitions)進行配置。共享定義通過[Homes]、[Printers]和[自定義目錄名]等節(jié)來說明共享資源的屬性。[homes]為特殊共享目錄,其名字不能改變。[homes]共享目錄并不特指具某個共享目錄,而是表示Samba用戶的宿主目錄,即Samba用戶登錄后可以訪問同名Linux系統(tǒng)用戶的宿主目錄中的內(nèi)容。默認情況下,用戶宿主目錄位于/home目錄下,每個用戶有一個以用戶名命名的子目錄。[printers]表示共享打印機。[printers]行也是特殊的行,不能修改其名字。若定義了[printers]段,用戶就可以連接在printcap文件里指定的打印機。要注意的是,若是設(shè)置共享打印機,則必須設(shè)置printable關(guān)鍵字語句為yes,否則用戶無法打印。任務(wù)7-2認識Samba服務(wù)的配置文件3．smb.con任務(wù)7-2認識Samba服務(wù)的配置文件表7-4smb.conf共享定義常用配置項配置項說明[用戶自定義的共享名]用戶訪問時通過此共享名來識別。也就是【網(wǎng)上鄰居】里面看見的文件夾的名字,可以與原目錄名不同。comment=備注信息設(shè)置共享目錄或打印機的說明信息path=絕對地址路徑指定共享目錄在Samba服務(wù)器中的絕對路徑public=yes|no是否允許匿名用戶訪問共享的文件夾或打印機資源guestok=yes|no連接共享資源時是否需要密碼validusers=用戶名或組名清單設(shè)置允許訪問的用戶或組成員,組名前面帶@,多個用戶名或組名以空格或逗號分隔readonly=yes|no設(shè)置共享目錄只讀還是可讀寫writable=yes|no指定共享目錄有寫入權(quán)限還是只讀權(quán)限(目錄本身是否可寫是前提),與readonly的作用相反writelist=用戶名或組名清單設(shè)置對共享目錄具有可讀寫權(quán)限的用戶名或組名。,組名前面帶@,多個用戶名或組名以空格或逗號分隔,writelist要生效的話,writeable設(shè)置成nobrowseable=yes|no設(shè)置共享目錄在“網(wǎng)上鄰居”中是否可見(默認為no即隱藏共享目錄)printable=yes|no是否允許打印createmask=文件權(quán)限值設(shè)置用戶在共享目錄下創(chuàng)建的文件的默認訪問權(quán)限。通常是以數(shù)字表示的,如0664,代表的是文件所有者對新創(chuàng)建的文件具有可讀可寫權(quán)限,其他用戶具有可讀權(quán)限,而所屬主要組成員不具有任何訪問權(quán)限。directorymask=子目錄權(quán)限值設(shè)置用戶在共享目錄下創(chuàng)建的子目錄的默認訪問權(quán)限任務(wù)7-2認識Samba服務(wù)的配置文件表7-4smb任務(wù)7-2認識Samba服務(wù)的配置文件4．smb.conf文件的測試在完成smb.conf文件所有配置后,可使用testparm命令測試配置文件中的語法是否正確。若顯示"LoadedservicesfileOK."信息表示配置文件的語法是正確的,再按【Enter】鍵,會顯示主配置文件當前有效的配置清單。任務(wù)7-2認識Samba服務(wù)的配置文件4．smb.con任務(wù)7-3配置可匿名訪問的文件共享在share安全級別下的Samba服務(wù)器允許匿名訪問(不需要客戶端提供用戶名和密碼)其共享資源,對于安全性要求不高的小型網(wǎng)絡(luò),是一種方便實用的可選方案?！纠?-1】在Samba服務(wù)器上發(fā)布目錄“/usr/share/mydoc”為公共共享文件夾,共享名為public_doc,允許除172.16.102.222以外的172.16.102.0網(wǎng)段中的所有用戶訪問,可以寫入文件,但是不可以刪除或修改其他用戶的文件。任務(wù)7-3配置可匿名訪問的文件共享在share安全級別下任務(wù)7-3配置可匿名訪問的文件共享步驟1:創(chuàng)建目錄/usr/share/mydoc并設(shè)置其訪問權(quán)限。步驟2:修改samba主配置文件smb.conf。步驟3:重新啟動SMB使配置生效。步驟4:確保服務(wù)器防火墻開放TCP139端口和UDP137、138端口。步驟5:修改SELinux。步驟6:測試。任務(wù)7-3配置可匿名訪問的文件共享步驟1:創(chuàng)建目錄/us任務(wù)7-4配置帶驗證的文件共享對于重要文件的目錄,為了保證系統(tǒng)安全性及資料保密性,就必須對用戶進行篩選,允許或禁止相應(yīng)的用戶訪問指定目錄。實現(xiàn)用戶身份驗證的途徑可以通過將安全級別配置為user、server和domain來實現(xiàn)。下面以最常用的user安全級別為例說明其配置過程?！纠?-2】學(xué)校按部門在Samba服務(wù)器中建立相應(yīng)部門的目錄,要求教務(wù)處(jwc)和學(xué)生處(xsc)只可以校長(rector)和相應(yīng)部門員工訪問,禁止非本部門員工的訪問。任務(wù)7-4配置帶驗證的文件共享對于重要文件的目錄,為了保任務(wù)7-4配置帶驗證的文件共享步驟1:按部門創(chuàng)建Linux系統(tǒng)用戶、組。步驟2:建立相應(yīng)的Samba用戶賬號。步驟3:創(chuàng)建各部門相應(yīng)的目錄并規(guī)劃其權(quán)限步驟4:修改samba主配置文件smb.conf。步驟5:重新加載配置,使修改后的配置文件生效。步驟6:測試任務(wù)7-4配置帶驗證的文件共享步驟1:按部門創(chuàng)建Linu任務(wù)7-5Samba服務(wù)器擴展功能配置1．虛擬用戶的配置隱藏系統(tǒng)真實用戶,減少密碼窮舉攻擊的風(fēng)險。真實用戶與虛擬用戶的映射關(guān)系通過“/etc/samba/smbusers”文件來定義和保存。配置步驟如下:步驟1:編輯主配置文件,開啟用戶賬號映射功能。[root@dyzx~]#vim/etc/samba/smb.conf//在[global]中添加以下配置行:usernamemap=/etc/samba/smbusers//開啟用戶賬號映射功能步驟2:編輯/etc/samba/smbuserssmbusers文件中定義賬號映射關(guān)系的格式為:samba用戶=虛擬用戶[,虛擬用戶…]步驟3:重啟Samba服務(wù)步驟4:驗證。任務(wù)7-5Samba服務(wù)器擴展功能配置1．虛擬用戶的配置任務(wù)7-5Samba服務(wù)器擴展功能配置2．隱藏共享目錄的配置使用browseable字段可實現(xiàn)隱藏共享的功能共享目錄隱藏了并不是說不共享了,只要知道共享名,并且有相應(yīng)權(quán)限,在Windows客戶端可以在地址欄中輸入“\\IP地址\共享名”來訪問隱藏共享。[root@dyzx~]#vim/etc/samba/smb.conf…[sales_doc]comment=salesdatapath=/usr/share/salesvalidusers=ceo@salesbrowseable=no //設(shè)置隱藏sales目錄[root@dyzx~]#servicesmbrestart任務(wù)7-5