第8章Samba服務(wù)器配置與安全管理

第8章Samba服務(wù)器配置與安全管理8.1Samba服務(wù)概述 1．Samba簡(jiǎn)介Samba（SMB是其縮寫）Samba是一套讓UNIX系統(tǒng)能夠應(yīng)用Microsoft網(wǎng)絡(luò)通訊協(xié)議的軟件。如圖8-1所示，Samba既可以用于Windows和Linux之間的資源共享，也一樣可用于Linux/Unix網(wǎng)絡(luò)內(nèi)部的資源共享。圖8-1Samba實(shí)現(xiàn)跨平臺(tái)的共享Samba提供了以下四大功能：

提供Windows風(fēng)格的文件和打印機(jī)共享：這是Samba的主要功能。

身份驗(yàn)證和授權(quán)：支持多種身份驗(yàn)證和權(quán)限設(shè)置模式，通過(guò)加密方式保護(hù)共享資源。通過(guò)用戶登錄Samba主機(jī)時(shí)做身份驗(yàn)證，來(lái)提供不同身份者的個(gè)別數(shù)據(jù)。

支持NetBIOS名字解析及瀏覽：通過(guò)nmbd服務(wù)可以搭建NBNS（NetBIOSNameService）服務(wù)器，將計(jì)算機(jī)的NetBIOS名解析為IP地址。

為客戶提供網(wǎng)上鄰居瀏覽服務(wù)：Samba服務(wù)器可以成為局域網(wǎng)中的主瀏覽服務(wù)器（LMB），保存可用資源列表，為客戶端提供瀏覽列表的服務(wù)。8.1Samba服務(wù)概述 2．Samba的工作原理

（1）Samba工作流程

步驟1：協(xié)議協(xié)商

步驟2：建立連接

步驟3：訪問(wèn)共享資源

步驟4：斷開連接

（2）Samba相關(guān)進(jìn)程 Samba服務(wù)是由兩個(gè)進(jìn)程組成，分別是nmbd和smbd。8.1Samba服務(wù)概述8.2案例導(dǎo)學(xué)——實(shí)現(xiàn)默認(rèn)的文件和打印共享 8.2.1安裝 1．準(zhǔn)備工作在RHEL5中提供的與Samba服務(wù)相關(guān)的軟件包有以下幾個(gè)： samba-common：包含通用工具和庫(kù)文件。服務(wù)器和客戶端都需要安裝該軟件包。 samba：Samba服務(wù)的主程序包。Samba服務(wù)器端必須安裝該軟件包。 samba-client：連接服務(wù)器和連接網(wǎng)上鄰居的客戶端工具，并包含其測(cè)試工具。Samba客戶端必須安裝該軟件包。 samba-swat：Samba的Web配置工具。支持通過(guò)瀏覽器對(duì)Samba服務(wù)器進(jìn)行圖形化管理。8.2案例導(dǎo)學(xué)——實(shí)現(xiàn)默認(rèn)的文件和打印共享 2．安裝

（1）安裝Samba主程序包

（2）安裝Samba客戶端工具

（3）安裝Samba通用工具和庫(kù)文件

（4）安裝Samba圖形化管理工具8.2案例導(dǎo)學(xué)——實(shí)現(xiàn)默認(rèn)的文件和打印共享 3．了解軟件包安裝的文件用命令“rpm-qlsamba”可以查詢到samba軟件包所生成的文件。主要有： /etc/pam.d/samba：samba用戶的pam認(rèn)證文件 /etc/rc.d/init.d/smb：samba服務(wù)的啟動(dòng)腳本 /etc/samba/smbusers：虛擬用戶與samba用戶的映射文件 /usr/bin/mksmbpasswd.sh：將系統(tǒng)帳號(hào)轉(zhuǎn)換為samba帳號(hào)的腳本文件 /usr/bin/smbstatus：顯示samba服務(wù)器的連接狀態(tài)8.2案例導(dǎo)學(xué)——實(shí)現(xiàn)默認(rèn)的文件和打印共享用命令“rpm-qlsamba-client”可以查詢到samba-client軟件包所生成的工具。主要有： /sbin/mount.cifs：掛載samba文件系統(tǒng) /sbin/umount.cifs：卸載samba文件系統(tǒng) /usr/bin/nmblookup：NetBIOS名字查詢工具，類似nslookup /usr/bin/smbclient：提供訪問(wèn)Samba服務(wù)器的命令行實(shí)用程序?？梢杂糜谶\(yùn)行SMB協(xié)議的計(jì)算機(jī)之間復(fù)制文件以及從SMB服務(wù)器上備份文件 /sbin/mount.cifs：將遠(yuǎn)程共享文件和目錄掛載到本地，用mount命令也可以實(shí)現(xiàn) /usr/bin/smbtree：顯示局域網(wǎng)中的共享主機(jī)和目錄列表8.2案例導(dǎo)學(xué)——實(shí)現(xiàn)默認(rèn)的文件和打印共享用命令“rpm-qlsamba-common”可查詢到samba-common軟件包生成的工具。主要有： /etc/samba：Samba服務(wù)器上用來(lái)存放配置文件的位置 /etc/samba/lmhosts：用于本地解析NetBIOS名字與對(duì)應(yīng)的IP地址 /etc/samba/smb.conf：Samba服務(wù)器的主配置文件 /usr/bin/smbpasswd：管理samba用戶帳戶和密碼 /usr/bin/testparm：檢查配置文件smb.conf語(yǔ)法的正確性 /var/log/samba：Samba服務(wù)器上用來(lái)存放Samba的日志文件的位置 Samba服務(wù)器的主配置文件“/etc/samba/smb.conf”是安裝軟件包時(shí)自動(dòng)產(chǎn)生的，可以在啟動(dòng)Samba服務(wù)器后直接使用。8.2案例導(dǎo)學(xué)——實(shí)現(xiàn)默認(rèn)的文件和打印共享 8.2.2使用默認(rèn)配置的Samba服務(wù)器 1．Samba主配置文件主配置文件文件“smb.conf”在服務(wù)器和客戶機(jī)上都是需要的。按結(jié)構(gòu)分為兩部分：一是以“GlobalSettings”為標(biāo)識(shí)的全局設(shè)置區(qū)域，針對(duì)整個(gè)Samba服務(wù)器有效。二是以“ShareDefinitions”為標(biāo)識(shí)的共享定義區(qū)域，只對(duì)特定的共享有效。

（1）全局設(shè)置區(qū)域的配置語(yǔ)句

（2）共享定義區(qū)域的配置語(yǔ)句共享定義區(qū)域的設(shè)置對(duì)象為每個(gè)共享目錄和打印機(jī)，在方括號(hào)中設(shè)置其共享名。如果我們想發(fā)布共享資源，需要對(duì)該區(qū)域進(jìn)行配置。這里可能用到的字段非常豐富，設(shè)置靈活。主配置文件:/etc/sabma/smb.conf詳解語(yǔ)法workgtoup=<工作組群>;

預(yù)設(shè)workgroup=MYGROUP

說(shuō)明設(shè)定SambaServer的工作組

例workgroup=workgroup和WIN2000S設(shè)為一個(gè)組，可在網(wǎng)上鄰居可中看到共享語(yǔ)法serverstring=<說(shuō)明>;

預(yù)設(shè)sarverstring=SambaServer

說(shuō)明設(shè)定SambaServer的注釋

其他支持變量t%-訪問(wèn)時(shí)間I%-客戶端IPm%-客戶端主機(jī)名M%-客戶端域名S%-客戶端用戶名

例serverstring=thisisaSambaServer設(shè)定出現(xiàn)在Windows網(wǎng)上鄰居的SambaServer注釋為thisisaSambaServer語(yǔ)法hostsaoolw=<IP地址>;...

預(yù)設(shè);hostallow=192.168.1.192.168.2.127.

說(shuō)明限制允許連接到SambaServer的機(jī)器，多個(gè)參數(shù)以空格隔開。表示方法可以為

完整的IP地址，如192.168.0.1

網(wǎng)段，如192.168.0.

例hostsallow=192.168.1.192.168.0.1表示允許192.168.1網(wǎng)段的機(jī)器網(wǎng)址為192.168.0.1的機(jī)器連接到自己的sambaserver語(yǔ)法printcapname=<打印機(jī)配置文件>;

預(yù)設(shè)printcapname=/etc/printcap

說(shuō)明設(shè)定sambasrever打印機(jī)的配置文件

例printcapname=/etc/printcap設(shè)定sambasrever參考/etc/printcap檔的打印機(jī)設(shè)定

語(yǔ)法printing=<打印機(jī)類型>;

預(yù)設(shè)printing=lprng

說(shuō)明設(shè)定sambaserver打印機(jī)所使用的類型,37行為目前所支持的類型語(yǔ)法guertaccount=<帳戶名稱>;

預(yù)設(shè)guertaccount=pcguest

說(shuō)明設(shè)定訪問(wèn)sambaserver的來(lái)賓帳戶(即訪問(wèn)時(shí)不用輸入用戶名和密碼的帳戶),若設(shè)為pcguest的話則為默認(rèn)為"nobody"用戶

例guertaccount=andy設(shè)定設(shè)定訪問(wèn)sambaserver的來(lái)賓帳戶以andy用戶登陸,則此登陸帳戶享有andy用戶的所有權(quán)限語(yǔ)法security=<等級(jí)>;

預(yù)設(shè)security=user

說(shuō)明設(shè)定訪問(wèn)sambaserver的安全級(jí)別共有四種

share---不需要提供用戶名和密碼

user----需要提供用戶名和密碼,而且身份驗(yàn)證由sambaserver負(fù)責(zé)

server--需要提供用戶名和密碼,可指定其他機(jī)器(winNT/2000/XP)或另一臺(tái)sambaserver作身份驗(yàn)證

domain--需要提供用戶名和密碼,指定winNT/2000/XP域服務(wù)器作身份驗(yàn)證語(yǔ)法passwordserver=<IP地址/主機(jī)名>;

預(yù)設(shè)passwordserver=<NT-Server-Name>;

說(shuō)明指定某臺(tái)服務(wù)器(包括windows和linux)的密碼,作為用戶登入時(shí)驗(yàn)證的密碼

其他此項(xiàng)需配合security=server時(shí),才可設(shè)定本參數(shù)

65行usernamelevel

語(yǔ)法passwordlevel=<位數(shù)>;

usernamelevel=<位數(shù)>;

預(yù)設(shè)passwordlevel=8

usernamelevel=8

說(shuō)明設(shè)定用戶名和密碼的位數(shù),預(yù)設(shè)為8位字符語(yǔ)法encryptpasswords=<yes/no>;

預(yù)設(shè)encryptpasswords=yse

說(shuō)明設(shè)定是否對(duì)samba的密碼加密語(yǔ)法smbpasswdfile=<密碼文件>;

預(yù)設(shè)smbpasswdfile=/etc/samba/smbpasswd

說(shuō)明設(shè)定samba的密碼文件語(yǔ)法localmaster=<yes/no>;

預(yù)設(shè)localmaster=no

說(shuō)明設(shè)定sambaserver是否要擔(dān)當(dāng)LMB角色(LMB負(fù)責(zé)收集本地網(wǎng)絡(luò)的BrowseList資源),通常無(wú)特殊原因設(shè)為no語(yǔ)法oslevel=<數(shù)字>;

預(yù)設(shè)oslevel=33

說(shuō)明設(shè)定sambaserver的oslevel.oslevel從0到255.winNT的oslevel為33,win95/98的oslevel是1.

若要拿sambaserver當(dāng)LMB或DMB則它的oslevel至少要大于NT的33以上語(yǔ)法domainmaster=<yes/no>;

預(yù)設(shè)domainmaster=yes

說(shuō)明設(shè)定sambaserver是否要擔(dān)當(dāng)DMB角色(DMB會(huì)負(fù)責(zé)收集其他子網(wǎng)的BrowseList資源),通常無(wú)特殊原因設(shè)為no

語(yǔ)法preferredmaster=<yes/no>;

預(yù)設(shè)preferredmaster=yes

說(shuō)明設(shè)定sambaserver是否要擔(dān)當(dāng)PDC角色(PDC會(huì)負(fù)責(zé)追蹤網(wǎng)絡(luò)帳戶進(jìn)行的一切變更),通常無(wú)特殊原因設(shè)為no.

(同一網(wǎng)段內(nèi)不可有兩個(gè)PDC,他們會(huì)每5分鐘搶主控權(quán)一次)語(yǔ)法winssupport=<yes/no>;

預(yù)設(shè)winssupport=yes

說(shuō)明設(shè)定sambaserver是否想網(wǎng)絡(luò)提供WINS服務(wù),通常無(wú)特殊原因設(shè)為no.

除非所處網(wǎng)絡(luò)上沒有主機(jī)提供WINS服務(wù)且需要此臺(tái)sambaserver提供WINS服務(wù)是才設(shè)yes

其他winssupport和winsserver只能選擇一個(gè)語(yǔ)法winsserver=<IP地址>;

預(yù)設(shè)winsserver=w.x.y.z

說(shuō)明設(shè)定sambaserver是否要使用別臺(tái)主機(jī)提供的WINS服務(wù).通常無(wú)特殊原因設(shè)為no.除非所處網(wǎng)絡(luò)上有一臺(tái)主機(jī)提供WINS服務(wù)才要設(shè)yes

其他winssupport和winsserver

例winsserver=192.168.0.1表示sambaserver要使用192.168.0.1提供的WINS服務(wù)

===ShareDefinitions===

[homes]

comment=HomeDirectories

browseable=no

writable=yes

validusers=%S

使用者本身的"家"目錄，當(dāng)使用者以samba使用者身份登入sambaserver后，

sambaserver底下會(huì)看到自己的家目錄，目錄名稱是使用者自己的帳號(hào)

要提供分享資源時(shí)，須先把欲分享的資源以[]符號(hào)括住，底下通常會(huì)帶指令和參數(shù)來(lái)表示此資源的設(shè)定和存取權(quán)限等,詳情如下

comment---------注釋說(shuō)明

path------------分享資源的完整路徑名稱，除了路徑要正確外，目錄的權(quán)限也要設(shè)對(duì)

browseable------是yes/否no在瀏覽資源中顯示共享目錄，若為否則必須指定共享路徑才能存取

printable-------是yes/否no允許打印

hidedotftles--是yes/否no隱藏隱藏文件

public----------是yes/否no公開共享，若為否則進(jìn)行身份驗(yàn)證(只有當(dāng)security=share時(shí)此項(xiàng)才起作用)

guestok--------是yes/否no公開共享，若為否則進(jìn)行身份驗(yàn)證(只有當(dāng)security=share時(shí)此項(xiàng)才起作用)

readonly-------是yes/否no以只讀方式共享當(dāng)與writable發(fā)生沖突時(shí)也writable為準(zhǔn)

writable--------是yes/否no不以只讀方式共享當(dāng)與readonly發(fā)生沖突時(shí)，無(wú)視r(shí)eadonly

vaildusers-----設(shè)定只有此名單內(nèi)的用戶才能訪問(wèn)共享資源(拒絕優(yōu)先)(用戶名/@組名)

invalidusers---設(shè)定只有此名單內(nèi)的用戶不能訪問(wèn)共享資源(拒絕優(yōu)先)(用戶名/@組名)

readlist-------設(shè)定此名單內(nèi)的成員為只讀(用戶名/@組名)

writelist------若設(shè)定為只讀時(shí)，則只有此設(shè)定的名單內(nèi)的成員才可作寫入動(dòng)作(用戶名/@組名)

createmask-----建立文件時(shí)所給的權(quán)限

directorymask--建立目錄時(shí)所給的權(quán)限

forcegroup-----指定存取資源時(shí)須以此設(shè)定的群組使用者進(jìn)入才能存取(用戶名/@組名)

forceuser------指定存取資源時(shí)須以此設(shè)定的使用者進(jìn)入才能存取(用戶名/@組名)

allowhosts-----設(shè)定只有此網(wǎng)段/IP的用戶才能訪問(wèn)共享資源

allwohosts=網(wǎng)段exceptIP

denyhosts------設(shè)定只有此網(wǎng)段/IP的用戶不能訪問(wèn)共享資源

allowhosts=本網(wǎng)段指定IP指定IP

denyhosts=指定IP本網(wǎng)段指定IP語(yǔ)法logfile=<日志文件>;

預(yù)設(shè)logfile=/var/log/samba/%m.log

說(shuō)明設(shè)定sambaserver日志文件的儲(chǔ)存位置和文件名(%m代表客戶端主機(jī)名)語(yǔ)法maxlogsize=<??KB>;

預(yù)設(shè)maxlogsize=0

說(shuō)明設(shè)定日子文件的最大容量,單位KB這里的預(yù)設(shè)值0代表不做限制8.2案例導(dǎo)學(xué)——實(shí)現(xiàn)默認(rèn)的文件和打印共享 2．Samba日志文件日志文件存儲(chǔ)著客戶端訪問(wèn)samba服務(wù)器的信息，以及samba服務(wù)的錯(cuò)誤提示信息等?？梢酝ㄟ^(guò)分析日志，幫助解決客戶端訪問(wèn)和服務(wù)器維護(hù)等問(wèn)題。主配置文件中通過(guò)“l(fā)ogfile”指定了samba服務(wù)的日志文件默認(rèn)存放在“/var/log/samba/”目錄下，啟用該語(yǔ)句后，samba服務(wù)器會(huì)為每臺(tái)成功連接的客戶機(jī)分別建立一個(gè)日志文件。當(dāng)samba服務(wù)器剛剛建立好后，只有兩個(gè)初始的日志文件，分別是nmbd.log和smbd.log。8.2案例導(dǎo)學(xué)——實(shí)現(xiàn)默認(rèn)的文件和打印共享 3．Samba賬號(hào)文件Samba服務(wù)器中的用戶帳號(hào)應(yīng)該是具有與其同名的Linux系統(tǒng)用戶帳號(hào)，但Samba用戶的密碼和同名系統(tǒng)用戶的密碼是相互獨(dú)立的，需要分別進(jìn)行維護(hù)和更改。smbpasswd命令用于維護(hù)Samba服務(wù)器的用戶帳號(hào)，它有以下幾種用法：#smbpasswd–asambauser //添加Samba用戶帳號(hào)#smbpasswd–dsambauser //禁用Samba用戶帳號(hào)#smbpasswd–esambauser //啟用Samba用戶帳號(hào)#smbpasswd–xsambauser //刪除Samba用戶帳號(hào)最后查看文件smbpasswd的內(nèi)容，檢查是否已正確添加了Samba賬號(hào)。8.2案例導(dǎo)學(xué)——實(shí)現(xiàn)默認(rèn)的文件和打印共享 8.2.3應(yīng)用測(cè)試 1．啟動(dòng)Samba服務(wù) 2．從Windows客戶端訪問(wèn)Samba服務(wù)器

（1）通過(guò)網(wǎng)上鄰居訪問(wèn)。

（2）使用UNC路徑訪問(wèn) 3．從Linux客戶端訪問(wèn)Samba服務(wù)器

（1）確認(rèn)已安裝samba客戶端軟件包

（2）訪問(wèn)Samba服務(wù)器上的共享資源

（3）smbstatus

（4）掛載samba文件系統(tǒng)到本地使用8.3課堂練習(xí)——架設(shè)基本的文件服務(wù)器

1．任務(wù)及分析任務(wù)情境：公司要在工作組company中添加一臺(tái)samba服務(wù)器作為文件服務(wù)器。把需要公開的信息發(fā)布在一個(gè)名為public的共享目錄“/share”中。為實(shí)現(xiàn)集中管理，還要為公司各部門建立相應(yīng)的目錄。比如銷售部的資料存放在samba服務(wù)器的“/cmpdata/sales/”目錄下，要求只允許銷售部員工和總經(jīng)理訪問(wèn)，并且只允許銷售部經(jīng)理對(duì)數(shù)據(jù)進(jìn)行維護(hù)。任務(wù)分析：該案例涵蓋了samba的基本配置。首先分析共享目錄“/share”，允許所有人訪問(wèn)意味著要為每個(gè)來(lái)訪者建立一個(gè)samba帳號(hào)，如果設(shè)置語(yǔ)句“security=share”，就能允許所有人采用匿名賬號(hào)nobody進(jìn)行訪問(wèn)，簡(jiǎn)化了設(shè)置。然而在samba服務(wù)器上還存在各部門存放重要數(shù)據(jù)的目錄，為了保證各部門數(shù)據(jù)的私密性，我們還必須對(duì)登錄的用戶進(jìn)行篩選，允許或禁止相應(yīng)的用戶訪問(wèn)指定的目錄，并且為不同的用戶授予不同的訪問(wèn)權(quán)限。8.3課堂練習(xí)——架設(shè)基本的文件服務(wù)器

2．配置方案和過(guò)程

（1）建立一些測(cè)試用的賬號(hào)