RHEL7版-項目08-使用NFS和Samba提供共享資源

“十二五”職業(yè)教育國家規(guī)劃教材

RedHatEnterpriseLinux7.3〔RHEL7.3〕Linux網(wǎng)絡操作系統(tǒng)配置與管理(第三版)主編：夏笠芹工程8使用NFS和Samba提供共享資源課程標準(教學大綱)教學設計方案(教案)PPT電子課件教材習題參考答案模擬試卷及參考答案(4套)紅帽認證+全國技能大賽資料知識拓展&網(wǎng)絡工程解決方案附贈光盤工程8使用NFS和Samba提供共享資源【職業(yè)知識目標】了解:SMB協(xié)議；文件共享協(xié)議的根本概念和Samba效勞的功能熟悉:NFS網(wǎng)絡文件系統(tǒng)的工作機制；Samba效勞的工作過程,Samba配置文件中配置參數(shù)的設置掌握:NFS、Samba的安裝、Samba效勞器的命令管理,Samba客戶程序的使用,使用Windows和Linux進行共享資源的訪問；【職業(yè)能力目標】會安裝NFS、Samba效勞的軟件包能配置可匿名訪問的文件共享能配置帶驗證的文件共享能在客戶端實現(xiàn)Linux與Windows資源互訪8.1工程描述Windows主機間共享的資源在Windows主機與Linux主機間資源共享:NFS、Samba公司內(nèi)部的網(wǎng)上公共資源方便訪問訪問平安,高效管理,搭建了一臺文件效勞器,并通過文件共享方式發(fā)布到網(wǎng)上需要針對不同的用戶設置不同的訪問權限來保障資源的平安。8.2工程知識準備8.2.1NFS網(wǎng)絡文件系統(tǒng)的工作機制NFS(NetworkFileSystem,網(wǎng)絡文件系統(tǒng))是由Sun公司開發(fā),于1984年對外公布,目前已經(jīng)開展到了第四代。它允許通過網(wǎng)絡讓不同的機器、不同的操作系統(tǒng)能夠進行文件共享NFS只負責將數(shù)據(jù)以文件系統(tǒng)的方式公布在網(wǎng)上,并對訪問者進行登錄管理和權限管理。要實現(xiàn)共享資源在不同主機之間傳輸,還得依賴于RPC(RemoteProcedureCall,遠程過程調(diào)用)NFS系統(tǒng)守護進程功能NFS服務nfsd它是基本的NFS守護進程,主要功能是管理客戶端是否能夠登錄服務器mountd管理NFS的文件系統(tǒng)。當客戶端順利通過nfsd登錄NFS服務器后,在使用NFS服務所提供的文件前,還必須通過文件使用權限的驗證。它會讀取NFS的配置文件/etc/exports來對比客戶端權限RPC服務rpcbind進行端口映射工作。當客戶端嘗試連接并使用RPC服務器提供的服務(如NFS服務)時,rpcbind會將所管理的與服務對應的端口提供給客戶端,從而使客戶可以通過該端口向服務器請求服務8.2工程知識準備8.2.1NFS網(wǎng)絡文件系統(tǒng)的工作機制部署NFS系統(tǒng)的益處如下：①節(jié)省本地存儲空間。將常用的軟件或數(shù)據(jù)集中存放在一臺計算機上,并使用NFS發(fā)布,當其他計算機需要時,可以通過網(wǎng)絡訪問來獲取,而不必各自單獨存儲一份。②集中管理用戶,實現(xiàn)全網(wǎng)登錄。配置一臺NFS效勞器用來放置所有用戶的home目錄,將這些目錄共享發(fā)布后,用戶不管在哪臺工作站上登錄,均能進入到自己的home目錄。③減少硬件設備的投入。將一些存儲設備如CDROM和Zip(一種高儲存密度的磁盤驅動器與磁盤)等共享后,其他計算機需要時掛載到本地便可使用,不必在每臺計算機上裝配。8.2工程知識準備8.2.2Samba效勞的協(xié)議、功能及工作過程1．Samba效勞的協(xié)議——SMB/CIFSSMB協(xié)議是Microsoft和Intel在1987年開發(fā)的,通過該協(xié)議使得客戶端應用程序可以在各種網(wǎng)絡環(huán)境下訪問效勞器端的文件和打印機等資源,從而實現(xiàn)不同Windows系統(tǒng)主機之間的資源共享。Samba是在Linux系統(tǒng)上對SMB/CIFS的具體實現(xiàn),通過Samba效勞器的搭建和Samba客戶機軟件的安裝,就可以實現(xiàn)Linux系統(tǒng)主機和Windows主機之間的雙向文件和打印機的共享,8.2.2Samba效勞的協(xié)議、功能及工作過程2．Samba的主要功能①與Windows系統(tǒng)之間實現(xiàn)文件和打印機資源的共享。②解析NetBIOS名字:將計算機的NetBIOS名解析為IP地址,實現(xiàn)主機之間的訪問定位。③支持跨平臺訪問的身份驗證和權限設置,支持加密傳輸SSL(SecureSocketLayer,平安套接字層)。④Samba效勞器可作為網(wǎng)絡中的WINS效勞器,甚至可承擔WindowsServer域中的域控制器的一些功能。3．Samba效勞的工作過程8.2.2Samba效勞的協(xié)議、功能及工作過程8.3工程實施任務8-1部署NFS效勞實現(xiàn)文件共享[root@dyzx~]#rpm-qanfs*rpc*1.NFS效勞端的安裝與配置步驟1:檢查系統(tǒng)中是否安裝NFS效勞的相關軟件包(RHEL7默認已安裝)。步驟2:創(chuàng)立共享目錄及相應的測試文件→將共享目錄(如:/usr/share/nfsfile)的所有者修改為nfsnobody,以便nfsnobody用戶能夠對該共享目錄有寫權限。[root@dyzx~]#mkdir/usr/share/nfsfile[root@dyzx~]#echo"welcometodyzx">/usr/share/nfsfile/readme[root@dyzx~]#chownnfsnobody/usr/share/nfsfile任務8-1部署NFS效勞實現(xiàn)文件共享[root@dyzx~]#vim/etc/exports/usr/share/nfsfile192.168.1.0/24(rw,sync,root_squash) //添加此配置行:wq //保存退出[root@dyzx~]#exportfs-r //重新加載配置文件,使新配置生效[root@dyzx~]#exportfs-v //查看配置結果/usr/share/nfsfile192.168.1.0/24(rw,wdelay,root_squash,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)步驟3:編輯、加載、查看NFS效勞的配置文件。任務8-1部署NFS效勞實現(xiàn)文件共享初始配置文件/etc/exports為空,添加的每一行是對一個共享目錄的配置參數(shù)。配置行的一般格式為:被共享目錄的絕對路徑客戶端1(權限參數(shù))客戶端2(權限參數(shù))……格式說明:①同一共享目錄的客戶端(權限參數(shù))可以有多個(以空格隔開);②“客戶端”的指定方式有以下幾種:客戶端的IP地址:如?？蛻舳说腎P網(wǎng)段:如或?？山馕龅闹鳈C名/完全合格域名:如、localhost等(指定的主機名或域名必須在/etc/hosts文件或DNS效勞器中能解析出IP地址)?？山馕龅奶囟ㄗ佑蛑械乃兄鳈C:如,*.dyzx、server[1-30].dyzx。所有主機:*③“權限參數(shù)”必須用英文的圓括號括起,且與前面的“客戶端”符號不能留空;圓括號內(nèi)的“權限參數(shù)”可以有多個,前后兩個用英文逗號隔開。任務8-1部署NFS效勞實現(xiàn)文件共享常用的權限參數(shù)參數(shù)權限r(nóng)o(默認)客戶機對NFS服務器中的共享目錄有只讀權限r(nóng)w客戶機對NFS服務器中的共享目錄有讀寫權限r(nóng)oot_squash(默認)當客戶機使用root用戶訪問時,將其映射為NFS服務端的匿名用戶(nfsnobody)no_root_squash當客戶機使用root用戶訪問時,將其映射為NFS服務端的root用戶,顯然開啟這項是不安全的no_all_squash(默認)訪問用戶先與本機用戶匹配,匹配失敗后再映射為匿名用戶all_squash不論NFS客戶端在連接服務器時使用什么用戶,均映射為NFS服務端的匿名用戶sync(默認)將數(shù)據(jù)同時寫入到內(nèi)存緩沖區(qū)和磁盤中,效率低,但可以保證數(shù)據(jù)的一致性async將數(shù)據(jù)先保存在內(nèi)存緩沖區(qū)中,必要時才寫入磁盤,,效率較高,但可能造成數(shù)據(jù)丟失wdelay(默認)檢查是否有相關的寫操作,如果有則將這些寫操作一起執(zhí)行,可以提高效率no_wdelay若有寫操作則立即執(zhí)行,應與sync配合使用subtree_check(默認)若輸出目錄是一個子目錄,則NFS服務器將檢查其父目錄的權限no_subtree_check即使輸出目錄是一個子目錄,NFS服務器也不檢查其父目錄的權限,可以提高效率secure(默認)限制客戶機只能從小于1024的tcp/ip端口連接服務器insecure允許客戶機從大于1024的tcp/ip端口連接服務器anonuid=<UID>指定匿名訪問用戶的本地用戶UID,默認為nfsnobody(65534)anongid=<GID>指定匿名訪問用戶的本地組GID,默認為nfsnobody(65534)任務8-1部署NFS效勞實現(xiàn)文件共享[root@dyzx~]#systemctlstartnfs-server[root@dyzx~]#systemctlenablenfs-server步驟4:啟動NFS效勞并設置開機自動啟動。步驟5:開放防火墻的nfs、rpc-bind、mountd效勞流量,允許外部主機訪問。[root@dyzx~]#firewall-cmd--permanent--add-service=nfs[root@dyzx~]#firewall-cmd--permanent--add-service=

rpc-bind[root@dyzx~]#firewall-cmd--permanent--add-service=mountd[root@dyzx~]#firewall-cmd--reload任務8-1部署NFS效勞實現(xiàn)文件共享[root@client~]#Exportlistfor192.168.1.1:2.使用Linux客戶端訪問NFS效勞器的共享文件步驟1:確保Linux系統(tǒng)的NFS客戶端已安裝rpcbind軟件包,并啟動了其效勞(RHEL7中已默認安裝并啟動,客戶端不需要啟動nfs效勞)。步驟2:在NFS客戶端使用showmount命令查看NFS效勞器中導出的共享目錄。查詢NFS效勞器導出的共享目錄的命令格式為:showmount[參數(shù)]NFS效勞器的地址常用參數(shù)有:-e——查詢/顯示遠程NFS效勞器中可用的共享目錄。-a——查詢/顯示效勞器上的共享目錄和所有連接客戶端的信息。-d——只顯示被本機掛載的共享目錄的信息。-v——顯示showmount命令程序的版本號。任務8-1部署NFS效勞實現(xiàn)文件共享[root@client~]#mkdir/nfsfile[root@client~]#mount-tnfs192.168.1.1:/usr/share/nfsfile/nfsfile[root@client~]#cat/nfsfile/readmewelcometodyzy2.使用Linux客戶端訪問NFS效勞器的共享文件步驟3:在NFS客戶端創(chuàng)立掛載點目錄→將效勞器端的共享目錄臨時掛載到本地的掛載點目錄→掛載成功后,訪問共享目錄內(nèi)的文件(如查看掛載點目錄內(nèi)readme文件的內(nèi)容)。步驟4:假設客戶端希望開機時自動將NFS效勞器端的共享資源掛載到本地主機,那么可以在客戶端的/etc/fstab文件的末尾添加掛載信息→驗證對共享資源地讀、寫訪問。[root@client~]#vim/etc/fstab //編輯自動掛載文件…… //省略假設干行,在文件末尾添加以下信息行:192.168.1.1:/usr/share/nfsfile/nfsfilenfsdefaults00[root@client~]#umount/nfsfile //從掛載點卸載共享目錄[root@client~]#mount-a//使文件/etc/fstab中設置的所有掛載設備立即生效[root@client~]#touch/nfsfile/test2//驗證掛載到/nfsfile/下的共享資源是否可寫[root@client~]#ls-l/nfsfile/test2 //驗證掛載到/nfsfile/下的共享資源是否可讀-rw-r--r--.1nfsnobodynfsnobody012月1720:50/nfsfile/test2任務8-1部署NFS效勞實現(xiàn)文件共享3.使用Windows客戶端訪問NFS效勞器中的共享文件步驟1:啟用Windows7的NFS功能。在Windows7的桌上依次單擊【開始】→【控制面板】→【程序和功能】→【翻開或關閉Windows功能】→展開【NFS效勞】→勾選【客戶端】→單擊【確定】按鈕,如圖8-3所示。步驟2:為了讓Windows7在掛載后的NFS目錄上具有寫入權限,需修改注冊表。為此,同時按下【W(wǎng)indows徽標+R】組合鍵→在翻開的【運行】對話框中輸入"regedit"命令→單擊【確定】按鈕,翻開【注冊表編輯器】窗口→按以下路徑選擇注冊項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ClientForNFS\CurrentVersion\Default→在其中添加數(shù)值為0的AnonymousUid和AnonymousGid兩個注冊項→添加完成后重啟計算機,如圖8-4所示。任務8-1部署NFS效勞實現(xiàn)文件共享3.使用Windows客戶端訪問NFS效勞器中的共享文件步驟3:同時按下【W(wǎng)indows徽標+R】組合鍵→在翻開的【運行】對話框中輸入“cmd”命令→單擊【確定】按鈕,進入字符命令窗口→使用showmount命令查看NFS效勞器上導出的共享目錄→使用mount命令掛載NFS效勞器的共享目錄到客戶端指定的盤符,如圖8-5所示。掛載成功后在【計算機】中增加了一塊名為“H:”的網(wǎng)絡驅動器,其存儲、讀寫文件的操作方法與本地磁盤完全相同,如圖8-6所示。假設要在客戶端卸載共享目錄,在字符命令窗口中執(zhí)行“umount-a”命令便可。1．Samba軟件包的組成samba-Samba效勞必須安裝的主程序包。samba-common-4.4.4-9.el7.x86_64.noarch..rpm效勞器和Linux客戶端均必須要安裝的通用工具和庫文件。該包是Linux客戶端連接Samba效勞器和網(wǎng)上鄰居的工具及測試軟件,Linux客戶機上必須安裝。mount掛載時需要該包來支持cifs協(xié)議,不安裝該包就沒有mount.cifs命令,使用mount掛載時也會有報錯。任務8-2Samba效勞的安裝與運行控制2.檢查是否安裝Samba效勞器[root@dyzx~]#rpm-qa|grepsamba3.安裝Samba效勞器[root@dyzx~]#yum-yinstallsamb4.Samba效勞器運行管理(1)smb和nmb效勞的啟動、停止、重啟、重新加載和狀態(tài)查詢systemctlstart|stop|restart|reload|statussmb.servicenmb.service(2)開機自動啟動或不啟動smb和nmb效勞systemctlenable|disablesmb.servicenmb.service(3)查看smb和nmb效勞啟動后對應的進程及狀態(tài)ps-ef|egrep"smb|nmb"ss-nutap|egrep"smbd|nmbd"(4)查看smb和nmb效勞運行中監(jiān)聽的端口,進而了解效勞方與客戶方連接的對象任務8-2Samba效勞的安裝與運行控制1．Samba效勞的配置文件文件或目錄說明/etc/samba/smb.conf主配置文件/etc/samba/lmhosts在啟動Samba服務進程時能自動捕捉到局域網(wǎng)內(nèi)主機的NetBIOS名與IP地址的對應關系,并自動保存在lmhosts文件中,作用類似于/etc/hosts,一般無需配置/var/lib/samba/private/passdb.tdb用戶認證信息文件,用來存放samba賬戶及與Linux賬戶之間的映射關系/var/log/samba/用于存放Samba的日志文件的目錄類別節(jié)/段落作用全局設置節(jié)(globalSettings)[global]用于定義Samba服務器的總體特性,其配置對所有節(jié)生效,主要有基本設置參數(shù)、安全設置參數(shù)、打印機設置參數(shù)和日志設置參數(shù)等特定共享節(jié)[homes]用于設置用戶家目錄的共享屬性[printes]用于設置打印機共享資源的屬性用戶自定義共享節(jié)[節(jié)名]用于用戶自定義共享目錄的共享屬性的設置(需用戶添加,每個共享目錄對應一節(jié))表8-4smb.conf主配置文件的主要組成局部表8-3Samba的配置文件及目錄任務8-3認識Samba效勞的配置文件任務8-3認識Samba效勞的配置文件2．smb.conf文件中全局參數(shù)的設置類型配置項及默認值說明基本workgroup=MYGROUP設置Samba服務器所屬的工作組名或域名serverstring=SambaServerVersion%v表示在Windows客戶端啟動Samba服務器的內(nèi)容窗口后,所顯示的備注欄的信息,“Version%v”表示顯示Samba版本號;netbiosname=MYSERVER設置Samba服務器NETBIOS名稱,即在Windows網(wǎng)上鄰居中顯示出來的Samba服務器的名稱;interfaces=loeth0192.168.12.2/24192.168.13.2/24指定Samba服務器監(jiān)聽哪些網(wǎng)卡,若服務器上有多塊網(wǎng)卡應配置此項?？梢詫懢W(wǎng)卡名或該網(wǎng)卡的IP地址日志;logfile=/var/log/samba/%m.log指定日志文件的存放位置,并為每個登錄服務器的用戶建立不同的日志文件,“%m”變量表示客戶端的主機名或IP地址;maxlogsize=50指定日志文件的最大容量,單位為KB,"0"代表無限制表8-5smb.conf全局設置主要配置項類型配置項及默認值說明安全security=user設置Samba服務器的安全級別;passwordserver=<NT-Server-Name>當Samba服務器的安全級別不是share或user時,用于指定驗證Samba用戶和口令的服務器名;hostsallow=127.192.168.12.192.168.13.設置可訪問Samba服務器的的主機、子網(wǎng)或網(wǎng)域,可用EXCEP排除某些IP地址。默認是全部允許usernamemap=/etc/samba/smbusers設置Linux用戶到Windows的用戶映射打印loadprinters=yes是否允許加載打印配置文件中的所有打印機,在開機時自動加載瀏覽列表,以支持客戶端的瀏覽功能cupsoption=

raw指定打印機系統(tǒng)的工作模式;printcapname=/etc/printcap設置開機時自動加載的打印機配置文件名稱和路徑;printing=cups設置打印機的類型.標準類型包括bsd、sysv、plp、lprng、aix、hpux、qnx、cups表8-5smb.conf全局設置主要配置項任務8-3認識Samba效勞的配置文件任務8-3認識Samba效勞的配置文件RHEL7中Samba4版本對客戶端進行身份驗證的方式有以下兩種:user(用戶模式):用戶對Samba效勞器的訪問是由Samba效勞器依據(jù)本地賬戶庫對訪問者進行身份驗證的,它要求每個訪問者必須在Samba效勞器上有其本地Linux賬戶。domain(域模式):這種模式是把Samba效勞器參加到Windows域網(wǎng)絡中,作為域中的成員。擔任用戶對Samba效勞器訪問身份驗證的是域中的Windows域控制器,而不是Samba效勞器,此時必須指定域控制效勞器的NetBIOS名稱。提示：在Samba4版本中,share和server驗證方式已被棄用。假設需要share驗證方式以實現(xiàn)匿名訪問共享文件夾,需要用security=user和maptoguest=BadUser兩個配置行方可。此時,用戶對Samba效勞器的訪問無需進行身份驗證,也就是不用輸入用戶名和密碼(即允許匿名訪問),用戶的訪問權限僅由相應用戶對共享文件的訪問權限決定。這是最簡單,但也是最不平安的一種Samba效勞器訪問方式,該方式適用于公共共享資源。任務8-3認識Samba效勞的配置文件3．smb.conf文件中共享定義的設置要發(fā)布共享資源,需要對共享定義局部(ShareDefinitions)進行配置。共享定義通過[Homes]、[Printers]和[自定義目錄名]等節(jié)來說明共享資源的屬性。[homes]為特殊共享目錄,其名字不能改變。[homes]共享目錄并不特指具某個共享目錄,而是表示Samba用戶的宿主目錄,即Samba用戶登錄后可以訪問同名Linux系統(tǒng)用戶的宿主目錄中的內(nèi)容。默認情況下,用戶宿主目錄位于/home目錄下,每個用戶有一個以用戶名命名的子目錄。[printers]表示共享打印機。[printers]行也是特殊的行,不能修改其名字。假設定義了[printers]段,用戶就可以連接在printcap文件里指定的打印機。要注意的是,假設是設置共享打印機,那么必須設置printable關鍵字語句為yes,否那么用戶無法打印。任務8-3認識Samba效勞的配置文件表8-6smb.conf共享定義常用配置項配置項說明[用戶自定義的共享名]用戶訪問時通過此共享名來識別不同的共享資源。也就是在Windows客戶端的“網(wǎng)絡”或“網(wǎng)上鄰居”中看見的文件夾的名字,可以與原目錄名不同。comment=備注信息設置共享目錄或打印機的說明信息path=絕對地址路徑指定共享目錄在Samba服務器中的絕對路徑(此項必須要設置)public=yes|no是否允許匿名用戶訪問共享的文件夾或打印機資源guestok=yes|no設置共享目錄是否允許所有人都可以訪問,與public配置項作用相同validusers=用戶名或組名列表設置允許訪問共享的用戶或組的列表,不允許列表以外用戶訪問。多個用戶名或組名以空格或逗號分隔,組名前面應帶@、+、&三種符號之一,其中:@表示先通過NIS服務器查找,NIS找不到再到本機查找;+表示只在本機的密碼文件組中查找;&表示只在NIS服務中查找。若列表為空,表示允許所有用戶訪問共享readonly=yes|no設置共享目錄只讀還是可讀寫writable=yes|no指定共享目錄有讀寫權還是只讀權(若可寫,還需要目錄本身具有寫權限),,默認設置為writable=no(即只讀權限)writelist=用戶名或組名清單設置對共享目錄具有可讀寫權限的用戶名或組名。多個用戶名或組名以空格或逗號分隔,組名前可以帶@、+、&。若writeable=no,則不在writelist列表中的用戶將具有只讀權限browseable=yes|no設置共享目錄在“網(wǎng)絡”或“網(wǎng)上鄰居”中是否可見(默認為no，即隱藏共享目錄)printable=yes|no是否允許用戶打印createmask=文件權限值設置用戶在共享目錄下創(chuàng)建的文件的默認訪問權限。通常是以數(shù)字表示的,如0664,代表的是文件所有者對新創(chuàng)建的文件具有可讀可寫權限,其他用戶具有可讀權限,而所屬主要組成員不具有任何訪問權限directorymask=子目錄權限值設置用戶在共享目錄下創(chuàng)建的子目錄的默認訪問權限任務8-3認識Samba效勞的配置文件4．smb.conf文件的測試在完成smb.conf文件所有配置后,可使用testparm命令測試配置文件中的語法是否正確。假設顯示"LoadedservicesfileOK."信息表示配置文件的語法是正確的,再按【Enter】鍵,會顯示主配置文件當前有效的配置清單。[root@dyzx~]#testparm使用testparm–v命令可以詳細的列出smb.conf支持的所有的配置參數(shù)(包括所有明確配置和未明確配置而使用缺省值的參數(shù))。smbstatus可顯示當前samba的聯(lián)接狀態(tài)。任務8-4可匿名訪問的共享目錄的配置與訪問【例8-1】德雅職業(yè)學校辦公室通過Samba效勞器發(fā)布公共共享目錄“/usr/share/public”,共享名為public_doc,允許除以外的網(wǎng)段中的所有客戶端訪問,可以寫入文件,但是不可以刪除或修改其他用戶的文件。步驟1:創(chuàng)立共享目錄/usr/share/public,并設置其訪問權限。[root@dyzx~]#mkdir-p/usr/share/public[root@dyzx~]#touch/usr/share/public/file1.tar //創(chuàng)立文件file1.tar以便測試[root@dyzx~]#ls-ld/usr/share/publicdrwxr-xr-x.2rootroot2312月1712:59/usr/share/public[root@dyzx~]#chmod1777/usr/share/public//所有用戶可寫但不能刪他人文件[root@dyzx~]#ls-ld/usr/share/publicdrwxrwxrwt.2rootroot2312月1712:59/usr/share/public步驟2:修改samba主配置文件smb.conf。任務8-4可匿名訪問的共享目錄的配置與訪問[root@dyzx~]#vim/etc/samba/smb.conf…………//省略假設干行[global]workgroup=WORKGROUP //修改為與Windows主機相同的工作組名security=user //身份驗證方式maptoguest=BadUser //添加此行,開啟匿名訪問hostsallow=192.168.1.except192.168.1.222 //允許訪問與不許訪問的IP地址……//省略假設干行//在文件末尾添加以下各行[public_doc] //設置共享目錄的共享名為public_docomment=PublicStuff //Windows的網(wǎng)絡中看到的共享目錄的備注欄信息path=/usr/share/public //設置共享目錄的絕對路徑guestok=yes //設置允許匿名訪問browseable=yes //設置共享目錄可見writable=yes //設置共享目錄可以讀寫printable=no //設置用戶不可以打印:wq //保存退出步驟3:重新啟動SMB使配置生效,并設置開機自動啟動。任務8-4可匿名訪問的共享目錄的配置與訪問步驟5:修改SELinux的平安上下文。[root@dyzx~]#systemctlrestartsmbnmb[root@dyzx~]#systemctlenablesmb nmb步驟4:開啟防火墻的samba效勞,允許Samba流量通過。[root@dyzx~]#systemctlrestartsmbnmb[root@dyzx~]#systemctlenablesmbnmb[root@dyzx~]#sestatus|grep"SELinuxstatus” //查看SELinux當前狀態(tài)SELinuxstatus: enabled //說明SELinux處于開啟狀態(tài)[root@dyzx~]#ll-dZ/usr/share/public//顯示修改前目錄擴展屬性(其中包含了平安上下文)drwxrwxrwt.rootrootunconfined_u:object_r:usr_t:s0/usr/share/public//將usr/share/public目錄下所有內(nèi)容的平安上下文修改為Samba效勞默認策略的平安上下文[root@dyzx~]#semanagefcontext-a-tsamba_share_t"/usr/share/public(/.*)?"[root@dyzx~]#restorecon-Rv/usr/share/public///將默認策略應用于usr/share/public目錄[root@dyzx~]#ll-dZ/usr/share/public //顯示修改后目錄擴展屬性drwxrwxrwt.rootrootunconfined_u:object_r:samba_share_t:s0/usr/share/public任務8-4可匿名訪問的共享目錄的配置與訪問步驟7:在Windows客戶端的訪問測試。步驟6:在效勞器端編輯/etc/hosts文件,添加本地主機名解析記錄,其中的主機名要與/etc/hostname文件中的主機名保持一致(本步驟非必作,只是有些客戶系統(tǒng)需要作,作了以后能加快訪問速度)。[root@dyzx~]#vim/etc/hosts127.0.0.1localhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain6192.168.1.1RHEL7-1.dyzx //添加此行[root@dyzx~]#vim/etc/sysconfig/network[root@dyzx~]#systemctlrestartnetwork任務8-4可匿名訪問的共享目錄的配置與訪問步驟8:在Linux客戶端的訪問測試。[root@client~]#yum-yinstallcifs-utils //安裝cifs-utils軟件包[root@client~]#mkdir/smbdata //創(chuàng)立掛載點目錄//將匿名用戶訪問的共享目錄臨時掛載到客戶端的/smbdata目錄下:[root@client~]#[root@client~]#ls-l/smbdata-rw-r--r--.1rootroot012月1712:59file1.tar//說明匿名用戶對共享目錄可讀[root@client~]#echo"helloworld">/smbdata/file2.txt//說明匿名用戶對共享目錄可寫假設希望客戶端開機后自動將Samba效勞端的共享目錄掛載到本地主機,那么可以在客戶端的/etc/fstab文件的末尾添加掛載信息。[root@client~]#vim/etc/fstab…… //省略假設干行,在文件末尾添加以下信息行:[root@client~]#umount/smbdata //從掛載點卸載共享目錄[root@client~]#mount-a //加載文件/etc/fstab中設置的所有設備[root@client~]#ls-l/smbdata //顯示掛載目錄中的文件清單-rw-r--r--.1rootroot012月1712:59file1.tar-rw-r--r--.1nobodynobody1212月1713:56file2.txt任務8-5帶用戶認證共享目錄的配置與訪問【例8-2】學校按部門在Samba效勞器中建立相應部門的目錄,要求教務處(jwc)和學生處(xsc)只可以校長(rector)和相應部門員工訪問,禁止非本部門員工的訪問。部門名稱共享的目錄共享名部門組賬號名部門中用戶賬號目錄訪問權限辦公室/usr/share/publicpublic_doc匿名用戶均可讀、寫、執(zhí)行教務處/usr/share/jwcjwc_docgjwcrector讀、寫、執(zhí)行zhang3讀取學生處/usr/share/xscxsc_docgxscrector讀、寫、執(zhí)行l(wèi)i4讀取步驟1:按部門創(chuàng)立Linux系統(tǒng)的組賬號→創(chuàng)立無家目錄、歸屬相應部門組且不可登錄的用戶賬號。[root@dyzx~]#groupadd-rgjwc//創(chuàng)立ID號小于等于1000的系統(tǒng)組賬號[root@dyzx~]#groupadd-rgxsc[root@dyzx~]#useradd-M-Ggjwc-s/sbin/nologinzhang3[root@dyzx~]#useradd-M-Ggxsc-s/sbin/nologinli4[root@dyzx~]#useradd-M-Ggjwc,gxsc-s/sbin/nologinrector[root@dyzx~]#idrectoruid=1002(rector)gid=1002(rector)組=1002(rector),984(gjwc),983(gxsc)任務8-5帶用戶認證共享目錄的配置與訪問步驟2:使用pdbedit命令創(chuàng)立與上述Linux系統(tǒng)用戶同名的Samba用戶。在user模式下,用戶在訪問Samba效勞器中的共享資源時,必須以Samba用戶的身份登錄,由于Samba用戶需要訪問系統(tǒng)文件,在建立Samba用戶賬號時還要確保有同名的Linux系統(tǒng)用戶存在。步驟3:創(chuàng)立各部門相應的目錄并規(guī)劃其權限步驟4:修改samba主配置文件smb.conf。[root@dyzx~]#pdbedit-azhang3NewSMBpassword: //輸入samba賬號密碼RetypenewSMBpassword: //再次輸入samba賬號密碼//省略假設干行[root@dyzx~]#pdbedit-ali4NewSMBpassword:RetypenewSMBpassword://省略假設干行[root@dyzx~]#pdbedit-arectorNewSMBpassword:RetypenewSMBpassword://省略假設干行任務8-5帶用戶認證共享目錄的配置與訪問步驟3:創(chuàng)立各部門相應的共享目錄并設置其訪問權限。[root@dyzx~]#mkdir-p/usr/share/jwc/usr/share/xsc //創(chuàng)立目錄[root@dyzx~]#ls-ld/usr/share/jwc/usr/share/xscdrwxr-xr-x.2rootroot612月1718:26/usr/share/jwcdrwxr-xr-x.2rootroot612月1718:26/usr/share/xsc[root@dyzx~]#touch/usr/share/jwc/file2.tar/usr/share/xsc/file3.tar[root@dyzx~]#chownrector.gjwc/usr/share/jwc //修改目錄的屬主及屬組[root@dyzx~]#chownrector.gxsc/usr/share/xsc[root@dyzx~]#ls-ld/usr/share/jwc/usr/share/xscdrwxr-xr-x.2rectorgjwc2312月1718:27/usr/share/jwcdrwxr-xr-x.2rectorgxsc2312月1718:27/usr/share/xsc[root@dyzx~]#chmod750/usr/share/jwc//修改目錄的訪問權限[root@dyzx~]#chmod750/usr/share/xsc[root@dyzx~]#ls-ld/usr/share/jwc/usr/share/xscdrwxr-x.2rectorgjwc2312月1718:27/usr/share/jwcdrwxr-x.2rectorgxsc2312月1718:27/usr/share/xsc[root@dyzx~]#ls-dZ/usr/share/jwc/usr/share/xscdrwxr-x.rectorgjwcunconfined_u:object_r:usr_t:s0/usr/share/jwcdrwxr-x.rectorgxscunconfined_u:object_r:usr_t:s0/usr/share/xsc任務8-5帶用戶認證共享目錄的配置與訪問步驟4:為共享目錄及其所有文件添加samba_share_t標簽類型→用新的標簽類型標注共享目錄,使新的平安上下文立即生效。[root@dyzx~]#semanagefcontext-a-tsamba_share_t"/usr/share/jwc(/.*)?"[root@dyzx~]#semanagefcontext-a-tsamba_share_t"/usr/share/xsc(/.*)?"[root@dyzx~]#restorecon-Rv/usr/share/jwc/[root@dyzx~]#restorecon-Rv/usr/sha