SAMBA服務(wù)器配置課件

Samba簡(jiǎn)介Samba是由一個(gè)澳大利亞大學(xué)生AndrewTridgell在1991年編寫的，其設(shè)計(jì)目的就是為了實(shí)現(xiàn)UNIX/Linux系統(tǒng)與Windows系統(tǒng)之間的文件和打印機(jī)共享。眾所周知，Windows網(wǎng)絡(luò)共享的核心是SMB（ServerMessageBlock）協(xié)議，而Samba則是一套在UNIX/Linux系統(tǒng)上實(shí)現(xiàn)SMB協(xié)議的程序。由于Samba一詞既包含了縮寫“SMB”，又是熱情奔放的桑巴舞的名稱，因此作者AndrewTridgell選擇Samba作為程序名。Samba的簡(jiǎn)介Samba是一個(gè)能讓Linux系統(tǒng)應(yīng)用Microsoft網(wǎng)絡(luò)通訊協(xié)議的軟件，而SMB是ServerMessageBlock的縮寫，即為服務(wù)器消息塊，SMB主要是作為Microsoft的網(wǎng)絡(luò)通訊協(xié)議，后來(lái)Samba將SMB通信協(xié)議應(yīng)用到了Linux系統(tǒng)上，就形成了現(xiàn)在的Samba軟件。后來(lái)微軟又把SMB改名為CIFS（CommonInternetFileSystem），即公共Internet文件系統(tǒng)，并且加入了許多新的功能，這樣一來(lái)，使得Samba具有了更強(qiáng)大的功能。Samba最大的功能就是可以用于Linux與windows系統(tǒng)直接的文件共享和打印共享，Samba既可以用于windows與Linux之間的文件共享，也可以用于Linux與Linux之間的資源共享，由于NFS(網(wǎng)絡(luò)文件系統(tǒng)）可以很好的完成Linux與Linux之間的數(shù)據(jù)共享，因而Samba較多的用在了Linux與windows之間的數(shù)據(jù)共享上面。Samba簡(jiǎn)介Samba簡(jiǎn)介SMB是基于客戶機(jī)/服務(wù)器型的協(xié)議，因而一臺(tái)Samba服務(wù)器既可以充當(dāng)文件共享服務(wù)器，也可以充當(dāng)一個(gè)Samba的客戶端，例如，一臺(tái)在Linux下已經(jīng)架設(shè)好的Samba服務(wù)器，windows客戶端就可以通過(guò)SMB協(xié)議共享Samba服務(wù)器上的資源文件，同時(shí)，Samba服務(wù)器也可以訪問(wèn)網(wǎng)絡(luò)中其它windows系統(tǒng)或者Linux系統(tǒng)共享出來(lái)的文件。Samba在windows下使用的是NetBIOS協(xié)議，如果你要使用Linux下共享出來(lái)的文件，請(qǐng)確認(rèn)你的windows系統(tǒng)下是否安裝了NetBIOS協(xié)議。Samba簡(jiǎn)介組成Samba運(yùn)行的有兩個(gè)服務(wù)，一個(gè)是SMB，另一個(gè)是NMB；SMB是Samba的核心啟動(dòng)服務(wù)，主要負(fù)責(zé)建立LinuxSamba服務(wù)器與Samba客戶機(jī)之間的對(duì)話，驗(yàn)證用戶身份并提供對(duì)文件和打印系統(tǒng)的訪問(wèn)，只有SMB服務(wù)啟動(dòng)，才能實(shí)現(xiàn)文件的共享，監(jiān)聽(tīng)139TCP端口；而NMB服務(wù)是負(fù)責(zé)解析用的，類似與DNS實(shí)現(xiàn)的功能，NMB可以把Linux系統(tǒng)共享的工作組名稱與其IP對(duì)應(yīng)起來(lái)，如果NMB服務(wù)沒(méi)有啟動(dòng)，就只能通過(guò)IP來(lái)訪問(wèn)共享文件，監(jiān)聽(tīng)137和138UDP端口。Samba簡(jiǎn)介Samba的主要功能:1,提供windows風(fēng)格的文件和打印機(jī)共享。2,在Windows網(wǎng)絡(luò)中解析NetBios的名字3,提供SMB客戶端，linux用戶可以利用smbclient利用類似于ftp的形式訪問(wèn)windows資源.4,提供命令行工具，利用該工具可以有限制地支持windows的某些管理功能.注意：//查看是否安裝Samba服務(wù)的軟件:[root@www~]#rpm-qa|grepsambaSamba服務(wù)器安裝通過(guò)yum來(lái)進(jìn)行Samba服務(wù)器 yuminstallsambasamba-clientsamba-swat安裝包說(shuō)明samba-common-3.6.9-164.el6.i686

//主要提供samba服務(wù)器的設(shè)置文件與設(shè)置文件語(yǔ)法檢驗(yàn)程序testparm

samba-client-3.6.9-164.el6.i686

//客戶端軟件，主要提供linux主機(jī)作為客戶端時(shí)，所需要的工具指令集

samba-swat-3.6.9-164.el6.i686

//基于https協(xié)議的samba服務(wù)器web配置界面

samba-3.6.9-164.el6.i686

//服務(wù)器端軟件，主要提供samba服務(wù)器的守護(hù)程序，共享文檔，日志的輪替，開(kāi)機(jī)默認(rèn)選項(xiàng)啟動(dòng)Samba服務(wù)器/etc/init.d/smbstart

//啟動(dòng)smb服務(wù)

/etc/init.d/nmbstart

//啟動(dòng)nmb服務(wù)serviceiptablesstop//關(guān)閉防火墻setenforce0//取消seLinux檢測(cè)getenforce//查看seLinux狀態(tài)配置Samba服務(wù)器Samba的主配置文件為/etc/samba/smb.confSamba安裝好后，使用testparm命令可以測(cè)試smb.conf配置是否正確。Samba服務(wù)器配置基礎(chǔ)1.smb.conf文件#grep-v'^#'/etc/samba/smb.conf

Samba服務(wù)器的全部配置信息均保存在/etc/samba/smb.conf文件。smb.conf文件采用分節(jié)的結(jié)構(gòu)，一般由3個(gè)標(biāo)準(zhǔn)節(jié)和若干個(gè)用戶自定義的共享節(jié)組成。[Global]節(jié)：定義Samba服務(wù)器的全局參數(shù)，與Samba服務(wù)整體運(yùn)行環(huán)境緊密相關(guān)。[Homes]節(jié)：定義共享用戶主目錄。[Printers]節(jié)：定義打印機(jī)共享。[自定義目錄名]節(jié)：定義用戶自定義的共享目錄。（1）全局參數(shù)類型參數(shù)名說(shuō)明基本workgroup指定Samba服務(wù)器所屬的工作組。serverstring指定Samba服務(wù)器的描述信息。安全security指定Samba服務(wù)器的安全級(jí)別。Passwordserver當(dāng)Samba服務(wù)器的安全級(jí)別不是共享或用戶時(shí)，用于指定驗(yàn)證Samba用戶和口令的服務(wù)器名。hostallow指定可訪問(wèn)Samba服務(wù)器的IP地址范圍。guestaccount指定guest帳號(hào)的名字，否則為nobody全局參數(shù)（續(xù)）打印printcapname指定打印機(jī)配置文件的保存路徑。cupsoption指定打印機(jī)系統(tǒng)的工作模式。loadprinters指定是否共享打印機(jī)。printing指定打印系統(tǒng)的類型。日志logfile指定日志文件的保存路徑。maxlogsize指定日志文件的最大尺寸，以KB為單位。（2）共享資源參數(shù)參數(shù)名含義comment指定共享目錄的描述信息。path指定共享目錄的路徑。browseable指定共享目錄是否可瀏覽，默認(rèn)為yes。writable指定共享目錄是否可寫，默認(rèn)為no。guestok指定是否允許guest帳號(hào)訪問(wèn)。共享資源參數(shù)（續(xù)）readonly指定共享目錄是否只可讀。public指定是否允許guest帳號(hào)訪問(wèn)。onlyguest指定是否只允許guest帳號(hào)訪問(wèn)。validuser指定允許訪問(wèn)共享目錄的用戶。printable指定是否允許打印writelist指定允許寫的用戶組smb.conf文件的默認(rèn)設(shè)定值如下所示：[global]workgroup=MYGROUPserverstring=SambaServersecurity=userloadprinters=yescupsoptions=rawlogfile=/var/log/samba/%m.logmaxlogsize=50dnsproxy=no定義全局參數(shù)smb.conf文件的默認(rèn)設(shè)定值如下所示：[global]workgroup=MYGROUPserverstring=SambaServersecurity=userloadprinters=yescupsoptions=rawlogfile=/var/log/samba/%m.logmaxlogsize=50dnsproxy=no服務(wù)器所屬的工作組smb.conf文件的默認(rèn)設(shè)定值如下所示：[global]workgroup=MYGROUPserverstring=SambaServersecurity=userloadprinters=yescupsoptions=rawlogfile=/var/log/samba/%m.logmaxlogsize=50dnsproxy=no服務(wù)器描述信息smb.conf文件的默認(rèn)設(shè)定值如下所示：[global]workgroup=MYGROUPserverstring=SambaServersecurity=userloadprinters=yescupsoptions=rawlogfile=/var/log/samba/%m.logmaxlogsize=50dnsproxy=no服務(wù)器的安全級(jí)別smb.conf文件的默認(rèn)設(shè)定值如下所示：[global]workgroup=MYGROUPserverstring=SambaServersecurity=userloadprinters=yescupsoptions=rawlogfile=/var/log/samba/%m.logmaxlogsize=50dnsproxy=no是否共享打印機(jī)smb.conf文件的默認(rèn)設(shè)定值如下所示：[global]workgroup=MYGROUPserverstring=SambaServersecurity=userloadprinters=yescupsoptions=rawlogfile=/var/log/samba/%m.logmaxlogsize=50dnsproxy=no打印機(jī)系統(tǒng)的工作模式smb.conf文件的默認(rèn)設(shè)定值如下所示：[global]workgroup=MYGROUPserverstring=SambaServersecurity=userloadprinters=yescupsoptions=rawlogfile=/var/log/samba/%m.logmaxlogsize=50dnsproxy=no日志文件的保存路徑smb.conf文件的默認(rèn)設(shè)定值如下所示：[global]workgroup=MYGROUPserverstring=SambaServersecurity=userloadprinters=yescupsoptions=rawlogfile=/var/log/samba/%m.logmaxlogsize=50dnsproxy=no日志文件的最大尺寸smb.conf文件的默認(rèn)設(shè)定值如下所示：[global]workgroup=MYGROUPserverstring=SambaServersecurity=userloadprinters=yescupsoptions=rawlogfile=/var/log/samba/%m.logmaxlogsize=50dnsproxy=no是否為服務(wù)器設(shè)置proxy[homes]comment=HomeDirectoresbrowseable=nowritable=yes[printers]comment=ALLPrinterspath=/var/spool/sambabrowseable=noguestok=no定義用戶共享主目錄[homes]comment=HomeDirectoresbrowseable=nowritable=yes[printers]comment=ALLPrinterspath=/var/spool/sambabrowseable=noguestok=no共享目錄的描述信息[homes]comment=HomeDirectoresbrowseable=nowritable=yes[printers]comment=ALLPrinterspath=/var/spool/sambabrowseable=noguestok=no共享目錄是否可瀏覽[homes]comment=HomeDirectoresbrowseable=nowritable=yes[printers]comment=ALLPrinterspath=/var/spool/sambabrowseable=noguestok=no共享目錄是否可寫[homes]comment=HomeDirectoresbrowseable=nowritable=yes[printers]comment=ALLPrinterspath=/var/spool/sambabrowseable=noguestok=no定義打印機(jī)共享[homes]comment=HomeDirectoresbrowseable=nowritable=yes[printers]comment=ALLPrinterspath=/var/spool/sambabrowseable=noguestok=no打印機(jī)共享描述[homes]comment=HomeDirectoresbrowseable=nowritable=yes[printers]comment=ALLPrinterspath=/var/spool/sambabrowseable=noguestok=no打印池路徑[homes]comment=HomeDirectoresbrowseable=nowritable=yes[printers]comment=ALLPrinterspath=/var/spool/sambabrowseable=noguestok=no是否允許guest賬戶訪問(wèn)2.Samba服務(wù)器的安全級(jí)別Samba服務(wù)器提供5種安全級(jí)別，利用security參數(shù)可指定其安全級(jí)別，最常用的安全級(jí)別是共享或用戶。共享（Share）：當(dāng)客戶端連接到Samba服務(wù)器后，不需要輸入Samba用戶名和口令就可以訪問(wèn)Samba服務(wù)器中的共享資源。這種方式方便但不太安全。用戶（User）：這是Samba服務(wù)器默認(rèn)的安全級(jí)別。Samba服務(wù)器負(fù)責(zé)檢查Samba用戶名和口令，驗(yàn)證成功后才能訪問(wèn)相應(yīng)的共享目錄。Samba服務(wù)器的安全級(jí)別（續(xù)）域（Domain）：Samba服務(wù)器本身不驗(yàn)證Samba用戶名和口令，而由Windows域控制服務(wù)器負(fù)責(zé)。此時(shí)必須指定域控制服務(wù)器的NetBIOS名稱。服務(wù)器（Sever）：Samba服務(wù)器不驗(yàn)證Samba用戶名和口令，而將輸入的用戶名和口令傳遞給另一個(gè)Samba服務(wù)器來(lái)校驗(yàn)。此時(shí)必須指定負(fù)責(zé)驗(yàn)證的那個(gè)Samba服務(wù)器的名稱。活動(dòng)目錄域（ADS）：Samba服務(wù)器不驗(yàn)證Samba用戶名和口令，而由活動(dòng)目錄域服務(wù)器來(lái)負(fù)責(zé)。同樣需要指定活動(dòng)目錄域服務(wù)器的NetBIOS名稱。3.Samba共享權(quán)限共享目錄的權(quán)限不僅與smb.conf文件中設(shè)定的共享權(quán)限有關(guān)，而且還與其本身的文件系統(tǒng)權(quán)限有關(guān)。Linux規(guī)定：Samba共享目錄的權(quán)限是文件系統(tǒng)權(quán)限與共享權(quán)限中最嚴(yán)格的那種權(quán)限。4.Samba服務(wù)的日志文件Samba服務(wù)器的日志文件默認(rèn)保存在/var/log/samba目錄中。Samba服務(wù)器為所有連接到Samba服務(wù)器的計(jì)算機(jī)建立獨(dú)立的日志文件，NMB服務(wù)和SMB服務(wù)的運(yùn)行情況寫入nmd.log和smbd.log文件中。Samba用戶管理Samba的用戶是操作系統(tǒng)用戶聯(lián)系在一起的，在創(chuàng)建Samba用戶前，必須先添加一個(gè)與之同名的操作系統(tǒng)用戶，也就是說(shuō)Samba的用戶必須是操作系統(tǒng)中已經(jīng)存在的用戶，但兩者的口令可以不相同。Samba用戶是通過(guò)smbpasswd命令進(jìn)行管理，該命令存放在“<Samba安裝目錄>/bin”目錄中，其命令格式如下所示。smbpasswd[options][username]用戶映射由于Samba用戶必須要與操作系統(tǒng)用戶同名，出于系統(tǒng)安全的考慮，為防止Samba用戶通過(guò)Samba賬號(hào)來(lái)猜測(cè)操作系統(tǒng)用戶的信息以及提供更靈活方便的用戶管理方法，所以就出現(xiàn)了Samba用戶映射。例如，在上例中添加share用戶后，系統(tǒng)管理員把該用戶映射為jack和jim用戶，那么，映射后管理員無(wú)需再添加jack和jim這兩個(gè)用戶的賬號(hào)，他們就可以登錄，其權(quán)限和口令都與share一樣。實(shí)行用戶映射的步驟如下所述。用戶帳號(hào)映射這個(gè)功能需要建立一個(gè)帳號(hào)映射關(guān)系表，里面記錄了samba帳號(hào)和虛擬帳號(hào)的對(duì)應(yīng)關(guān)系，客戶端訪問(wèn)samba服務(wù)器時(shí)就使用虛擬來(lái)登錄。1）編輯主配置文件vi/etc/samba/smb.conf在global下添加一行字段usernamemap=/etc/samba/smbusers開(kāi)啟用戶帳號(hào)映射功能。2）編輯vi/etc/samba/smbuserssmbusers文件保存帳號(hào)映射關(guān)系，其有固定格式：samba帳號(hào)=虛擬帳號(hào)（映射帳號(hào)）myname=networkusername3）重啟samba服務(wù)：servicesmbdrestart4）驗(yàn)證效果輸入我們定義的映射帳號(hào)networkusername，映射帳號(hào)networkusername的密碼和myname帳號(hào)一樣，現(xiàn)在就可以通過(guò)映射帳號(hào)瀏覽共享目錄了。SambaWeb管理工具SWAT SWAT(SambaWEBAdministrationTool)是通過(guò)瀏覽器對(duì)Samba進(jìn)行管理的工具之一。通過(guò)SWAT，可以在Samba允許訪問(wèn)范圍內(nèi)的客戶端，用瀏覽器對(duì)服務(wù)端的Samba進(jìn)行控制。在線文檔的閱覽、smb.conf的確認(rèn)和編輯，以及密碼的變更、服務(wù)的重啟等等都可以通過(guò)SWAT來(lái)完成，它的直觀讓Samba變得溫和化，對(duì)那些不喜歡文本界面管理服務(wù)器的朋友來(lái)說(shuō)，是一個(gè)強(qiáng)大的工具。安裝samba-swat-3.5.10-125.el6.x86_64，這里不再贅述。Samba服務(wù)器配置實(shí)例例1：企業(yè)計(jì)劃配置一臺(tái)Samba服務(wù)器，用來(lái)向局域網(wǎng)內(nèi)客戶機(jī)提供軟件共享服務(wù)，常用軟件都放置在服務(wù)器的/usr/soft目錄中，要求用戶只能從該目錄讀取文件，不能修改文件或添加文件。另外各客戶端可以利用Samba服務(wù)器進(jìn)行臨時(shí)文件交換，即任何用戶有權(quán)限將文件寫到服務(wù)器指定的目錄下（/urs/temp).配置主要步驟：1.使用mkdir創(chuàng)建相應(yīng)的共享目錄#mkdir/usr/soft#mkdir/usr/temp2.修改共享目錄的權(quán)限chmod755/usr/softchownnobody:nobody/usr/temp3.修改smb.conf文件內(nèi)容，使用testparm測(cè)試4.啟動(dòng)服務(wù)5.測(cè)試

例2：對(duì)例1中的Samba服務(wù)器進(jìn)行修改，達(dá)到以下功能：1.soft目錄：保存常用軟件，所有用戶都只有讀權(quán)限，管理員admin除外，admin可以向該目錄寫入文件。2.tmpdoc目錄：仍然作為交換目錄，所有用戶可以進(jìn)行讀寫3.tech目錄：保存技術(shù)部的資料，只有技術(shù)部門