Linux網(wǎng)絡(luò)操作系統(tǒng)項目教程（歐拉-麒麟）課件 （含思政）項目10 配置與管理samba服務(wù)器

項目10

配置與管理samba服務(wù)器《Linux網(wǎng)絡(luò)操作系統(tǒng)項目教程（歐拉/麒麟）（微課版）（第5版）》“十四五”職業(yè)教育國家規(guī)劃教材能力要求CAPACITY掌握samba的工作原理。0103掌握主配置文件samba.conf的配置方法。02掌握samba服務(wù)密碼文件的配置方法。04掌握samba服務(wù)密碼文件的配置方法。思政導(dǎo)入IDEOLOGY“龍芯”讓中國人自豪！請記住“龍芯”，記住“863”“973”“核高基”等國家重大項目。為中華之崛起而讀書，從來都不僅限于紙上。思政目標(biāo)IDEOLOGY如果人生是一場奔赴，青春最好的“模樣”是昂首篤行、步履鏗鏘?！叭藷o剛骨，安身不牢?！惫菤馐侨说募沽?，是前行的支柱。新時代的弄潮兒要有“富貴不能淫，貧賤不能移，威武不能屈”的氣節(jié)，要有“自信人生二百年，會當(dāng)水擊三千里”的勇氣，還要有“我將無我，不負(fù)人民”的擔(dān)當(dāng)。思政內(nèi)容IDEOLOGY

你知道“龍芯”嗎？你知道“龍芯”的應(yīng)用水平嗎？通用處理器是信息產(chǎn)業(yè)的基礎(chǔ)部件，是電子設(shè)備的核心器件。通用處理器是關(guān)系到國家命運的戰(zhàn)略產(chǎn)業(yè)之一，其發(fā)展直接關(guān)系到國家技術(shù)創(chuàng)新能力，關(guān)系到國家安全，是國家的核心利益所在?！褒埿尽笔俏覈钤缪兄频母咝阅芡ㄓ锰幚砥飨盗?，于2001年在中國科學(xué)院計算所開始研發(fā)，得到了“863”“973”“核高基”等項目的大力支持，完成了10年的核心技術(shù)積累。2010年，中國科學(xué)院和北京市政府共同牽頭出資，龍芯中科技術(shù)有限公司正式成立，開始市場化運作，旨在將龍芯處理器的研發(fā)成果產(chǎn)業(yè)化。思政內(nèi)容IDEOLOGY目前龍芯處理器產(chǎn)品在各領(lǐng)域取得了廣泛應(yīng)用。在安全領(lǐng)域，龍芯處理器已經(jīng)通過了嚴(yán)格的可靠性實驗，作為核心元器件應(yīng)用在幾十種型號和系統(tǒng)中，2015年，龍芯處理器成功應(yīng)用于北斗二代導(dǎo)航衛(wèi)星。在通用領(lǐng)域，龍芯處理器已經(jīng)應(yīng)用在個人計算機(jī)、服務(wù)器及高性能計算機(jī)、行業(yè)計算機(jī)終端，以及云計算終端等方面。在嵌入式領(lǐng)域，基于龍芯CPU的防火墻等網(wǎng)安系列產(chǎn)品已達(dá)到規(guī)模銷售；應(yīng)用于國產(chǎn)高端數(shù)控機(jī)床等系列工控產(chǎn)品顯著提升了我國工控領(lǐng)域的自主化程度和產(chǎn)業(yè)化水平；龍芯提供了IP設(shè)計服務(wù)，在國產(chǎn)數(shù)字電視領(lǐng)域也與國內(nèi)多家知名廠家展開合作，其IP地址授權(quán)量已達(dá)百萬片以上。項目知識準(zhǔn)備項目設(shè)計與準(zhǔn)備項目實施項目實錄：Linux系統(tǒng)安裝與基本配置內(nèi)容導(dǎo)航CONTENTS一、項目知識準(zhǔn)備了解samba應(yīng)用環(huán)境文件和打印機(jī)共享：文件和打印機(jī)共享是samba的主要功能，通過SMB進(jìn)程實現(xiàn)資源共享，將文件和打印機(jī)發(fā)布到網(wǎng)絡(luò)之中，以供用戶訪問。身份驗證和權(quán)限設(shè)置：smbd服務(wù)支持usermode和domainmode等身份驗證和權(quán)限設(shè)置模式，通過加密方式可以保護(hù)共享的文件和打印機(jī)。名稱解析：samba通過nmbd服務(wù)可以搭建NBNS（NetBIOSNameService）服務(wù)器，提供名稱解析，將計算機(jī)的NetBIOS名解析為IP地址。瀏覽服務(wù)：局域網(wǎng)中，samba服務(wù)器可以成為本地主瀏覽服務(wù)器（LMB），保存可用資源列表，當(dāng)使用客戶端訪問Windows網(wǎng)上鄰居時，會提供瀏覽列表，顯示共享目錄、打印機(jī)等資源。一、項目知識準(zhǔn)備了解SMB協(xié)議SMB（ServerMessageBlock）通信協(xié)議可以看作是局域網(wǎng)上共享文件和打印機(jī)的一種協(xié)議。samba則是將SMB協(xié)議搬到UNIX系統(tǒng)上來使用，通過“NetBIOSoverTCP/IP”，使用samba不但能與局域網(wǎng)絡(luò)主機(jī)共享資源，而且能與全世界的計算機(jī)共享資源。項目知識準(zhǔn)備項目設(shè)計與準(zhǔn)備項目實施項目實錄：Linux系統(tǒng)安裝與基本配置內(nèi)容導(dǎo)航CONTENTS二、項目設(shè)計與準(zhǔn)備了解samba服務(wù)器配置的工作流程1.基本的samba服務(wù)器的搭建流程主要分為5個步驟。（1）編輯主配置文件smb.conf，指定需要共享的目錄，并為共享目錄設(shè)置共享權(quán)限。（2）在smb.conf文件中指定日志文件名稱和存放路徑。（3）設(shè)置共享目錄的本地系統(tǒng)權(quán)限。（4）重新加載配置文件或重新啟動SMB服務(wù)，使配置生效。（5）關(guān)閉防火墻，同時設(shè)置SELinux為允許。二、項目設(shè)計與準(zhǔn)備了解samba服務(wù)器配置的工作流程2.samba的工作流程如圖所示。（1）客戶端請求訪問samba服務(wù)器上的共享目錄。（2）samba服務(wù)器接收到請求后，會查詢主配置文件smb.conf，看是否共享了目錄，如果共享了目錄則查看客戶端是否有權(quán)限訪問。（3）samba服務(wù)器會將本次訪問信息記錄在日志文件之中，日志文件的名稱和路徑都需要我們設(shè)置。（4）如果客戶端滿足訪問權(quán)限設(shè)置，則允許客戶端進(jìn)行訪問。二、項目設(shè)計與準(zhǔn)備設(shè)備準(zhǔn)備本項目要用到Server01、Client3和Client1，設(shè)備情況如表所示:主

機(jī)

名操作系統(tǒng)IP地址網(wǎng)絡(luò)連接方式samba共享服務(wù)器：Server01EulerOS22.03LTS/24VMnet1（僅主機(jī)模式）Windows客戶端：Client3Windows100/24VMnet1（僅主機(jī)模式）Linux客戶端：Client1EulerOS22.03LTS1/24VMnet1（僅主機(jī)模式）項目知識準(zhǔn)備項目設(shè)計與準(zhǔn)備項目實施項目實錄：Linux系統(tǒng)安裝與基本配置內(nèi)容導(dǎo)航CONTENTS三、項目實施任務(wù)10-1安裝并啟動samba服務(wù)使用rpm-qa|grepsamba命令檢測系統(tǒng)是否安裝了samba相關(guān)性軟件包：[root@Server01~]#rpm-qa|grepsamba（1）掛載ISO安裝映像。

[root@Server01~]#mount/dev/cdrom/media（2）制作yum源文件/etc/yum.repos.d/dvd.repo（略）。（3）使用dnf命令查看samba軟件包的信息。[root@Server01~]#dnfinfosamba（4）使用yum命令安裝samba服務(wù)。[root@Server01~]#dnfcleanall //安裝前先清除緩存[root@Server01~]#dnfinstallsamba-y三、項目實施任務(wù)10-1安裝并啟動samba服務(wù)（5）所有軟件包安裝完畢，可以使用rpm命令再一次進(jìn)行查詢：[root@Server01~]#rpm-qa|grepsamba（6）啟動smb服務(wù)，設(shè)置開機(jī)啟動該服務(wù)，重啟服務(wù)。[root@Server01~]#systemctlstartsmb;systemctlenablesmb注意：在服務(wù)器配置中，更改了配置文件后，一定要記得重啟服務(wù)，讓服務(wù)重新加載配置文件，這樣新配置才生效。重啟的命令是：systemctlrestartsmb或systemctlreloadsmb三、項目實施任務(wù)10-2主要配置文件smb.conf1．samba服務(wù)程序中的參數(shù)以及作用samba的配置文件一般就放在/etc/samba目錄中，主配置文件名為smb.conf。RHEL8的smb.conf配置文件已經(jīng)簡化，只有37行左右。為了方便配置，建議先備份smb.conf，一旦發(fā)現(xiàn)錯誤可以隨時從備份文件中恢復(fù)主配置文件。操作如下:[root@Server01~]#cd/etc/samba[root@Server01samba]#ls[root@Server01samba]#cpsmb.confsmb.conf.bak[root@Server01samba]#cd三、項目實施任務(wù)10-2主要配置文件smb.conf2．ShareDefinitions共享服務(wù)的定義ShareDefinitions設(shè)置對象為共享目錄和打印機(jī)，如果想發(fā)布共享資源，需要對ShareDefinitions部分進(jìn)行配置。（1）設(shè)置共享名。共享名的設(shè)置非常簡單，格式為：[共享名]（2）共享資源描述。格式：comment=備注信息（3）共享路徑。格式：path=絕對地址路徑三、項目實施任務(wù)10-2主要配置文件smb.conf（4）設(shè)置匿名訪問。設(shè)置是否允許對共享資源進(jìn)行匿名訪問，可以更改public字段。格式：public=yes#允許匿名訪問public=no#禁止匿名訪問三、項目實施任務(wù)10-2主要配置文件smb.conf【例10-1】samba服務(wù)器中有個目錄為/share，需要發(fā)布該目錄成為共享目錄，定義共享名為public，要求：允許瀏覽、允許只讀、允許匿名訪問。設(shè)置如下所示。[public] comment=public path=/share browseable=yes readonly=yes public=yes三、項目實施任務(wù)10-2主要配置文件smb.conf（5）設(shè)置訪問用戶。如果共享資源存在重要數(shù)據(jù)的話，需要對訪問用戶進(jìn)行審核，我們可以使用validusers字段進(jìn)行設(shè)置。格式：validusers=用戶名validusers=@組名【例10-2】samba服務(wù)器/share/tech目錄中存放了公司技術(shù)部數(shù)據(jù)，只允許技術(shù)部員工和經(jīng)理訪問，技術(shù)部組為tech，經(jīng)理賬號為manager。[tech]comment=techpath=/share/techvalidusers=@tech,manager三、項目實施任務(wù)10-2主要配置文件smb.conf（6）設(shè)置目錄只讀。共享目錄如果需要限制用戶的讀寫操作，我們可以通過readonly實現(xiàn)。格式：readonly=yes#只讀readonly=no#讀寫（7）設(shè)置過濾主機(jī)。hostsallow=192.168.10.上述程序表示允許來自或的訪問者訪問samba服務(wù)器資源。hostsdeny=192.168.2.上述程序表示不允許來自網(wǎng)絡(luò)的主機(jī)訪問當(dāng)前samba服務(wù)器資源。三、項目實施任務(wù)10-2主要配置文件smb.conf【例10-3】samba服務(wù)器公共目錄/public存放大量共享數(shù)據(jù)，為保證目錄安全，僅允許網(wǎng)絡(luò)的主機(jī)訪問，并且只允許讀取，禁止寫入。[public]comment=publicpath=/publicpublic=yesreadonly=yeshostsallow=192.168.10.三、項目實施任務(wù)10-2主要配置文件smb.conf（8）設(shè)置目錄可寫。如果共享目錄允許用戶寫操作，可以使用writable或writelist兩個字段進(jìn)行設(shè)置。writable格式：writable=yes#讀寫writable=no#只讀writelist格式：writelist=用戶名writelist=@組名三、項目實施任務(wù)10-3samba服務(wù)的日志文件和密碼文件日志文件對于samba非常重要，它存儲著客戶端訪問samba服務(wù)器的信息，以及samba服務(wù)的錯誤提示信息等，可以通過分析日志，幫助解決客戶端訪問和服務(wù)器維護(hù)等問題。在/etc/samba/smb.conf文件中，logfile為設(shè)置samba日志的字段。如下所示：logfile=/var/log/samba/log.%msamba服務(wù)的日志文件默認(rèn)存放在/var/log/samba/中，其中samba會為每個連接到samba服務(wù)器的計算機(jī)分別建立日志文件。使用ls-a/var/log/samba命令可以查看日志的所有文件。三、項目實施任務(wù)10-3samba服務(wù)的日志文件和密碼文件2．samba服務(wù)密碼文件samba服務(wù)器發(fā)布共享資源后，客戶端訪問samba服務(wù)器，需要提交用戶名和密碼進(jìn)行身份驗證，驗證合格后才可以登錄。samba服務(wù)為了實現(xiàn)客戶身份驗證功能，將用戶名和密碼信息存放在/etc/samba/smbpasswd中，在客戶端訪問時，將用戶提交的資料與smbpasswd中存放的信息進(jìn)行比對，如果相同，并且samba服務(wù)器其他安全設(shè)置允許，客戶端與samba服務(wù)器的連接才能建立成功。三、項目實施任務(wù)10-3samba服務(wù)的日志文件和密碼文件那如何建立samba賬號呢？首先，samba賬號并不能直接建立，需要先建立Linux同名的系統(tǒng)賬號。例如，如果要建立一個名為yy的samba賬號，那么Linux系統(tǒng)中必須提前存在一個同名的yy系統(tǒng)賬號。samba中添加賬號的命令為smbpasswd，格式為：smbpasswd-a用戶名三、項目實施任務(wù)10-3samba服務(wù)的日志文件和密碼文件【例10-4】在samba服務(wù)器中添加samba賬號reading。（1）建立Linux系統(tǒng)賬號reading。[root@Server01~]#useraddreading[root@Server01~]#passwdreading（2）添加reading用戶的samba賬號。[root@Server01~]#smbpasswd-areading三、項目實施任務(wù)10-4user服務(wù)器實例解析在openEuler中，samba服務(wù)程序默認(rèn)使用的是用戶口令認(rèn)證（user）模式。這種認(rèn)證模式可以確保僅讓有密碼且受信任的用戶訪問共享資源，而且驗證過程十分簡單?！纠?0-5】如果公司有多個部門，因工作需要，就必須分門別類地建立相應(yīng)部門的目錄。要求將銷售部的資料存放在samba服務(wù)器的/companydata/sales/目錄下集中管理，以便銷售人員瀏覽，并且該目錄只允許銷售部員工訪問。需求分析：在/companydata/sales/目錄中存放有銷售部的重要數(shù)據(jù)，為了保證其他部門無法查看其內(nèi)容，我們需要將全局配置中security設(shè)置為user安全級別。這樣就啟用了samba服務(wù)器的身份驗證機(jī)制。然后在共享目錄/companydata/sales下設(shè)置validusers字段，配置只允許銷售部員工訪問這個共享目錄。三、項目實施任務(wù)10-4user服務(wù)器實例解析（1）建立共享目錄，并在其下建立測試文件。[root@Server01~]#mkdir/companydata[root@Server01~]#mkdir/companydata/sales[root@Server01~]#touch/companydata/sales/test_share.tar三、項目實施任務(wù)10-4user服務(wù)器實例解析（2）添加銷售部用戶和組并添加相應(yīng)的samba賬號。①使用groupadd命令添加sales組，然后執(zhí)行useradd命令和passwd命令，以添加銷售部員工的賬號及密碼。此處單獨增加一個test_user1賬號，不屬于sales組，供測試用。[root@Server01~]#groupaddsales #建立銷售組sales[root@Server01~]#useradd-gsalessale1 #建立用戶sale1，添加到sales組[root@Server01~]#useradd-gsalessale2 #建立用戶sale2，添加到sales組[root@Server01~]#useraddtest_user1 #供測試用[root@Server01~]#passwdsale1 #設(shè)置用戶sale1密碼[root@Server01~]#passwdsale2 #設(shè)置用戶sale2密碼[root@Server01~]#passwdtest_user1 #設(shè)置用戶test_user1密碼三、項目實施任務(wù)10-4user服務(wù)器實例解析②為銷售部成員添加相應(yīng)samba賬號。[root@Server01~]#smbpasswd-asale1[root@Server01~]#smbpasswd-asale2三、項目實施任務(wù)10-4user服務(wù)器實例解析（3）修改samba主配置文件：vim/etc/samba/smb.conf。直接在原文件未尾添加，但要注意將原文件的[global]刪除或用“#”注釋掉，文件中不能有兩個同名的[global]。當(dāng)然也可直接在原來的[global]上進(jìn)行修改。

39[global]40workgroup=Workgroup41serverstring=FileServer42security=user43#設(shè)置user安全級別模式，取默認(rèn)值

44passdbbackend=tdbsam45printing=cups46printcapname=cups47loadprinters=yes48cupsoptions=raw

49[sales]50#設(shè)置共享目錄的共享名為sales51comment=sales52path=/companydata/sales53#設(shè)置共享目錄的絕對路徑

54writable=yes55browseable=yes56validusers=@sales57#設(shè)置可以訪問的用戶為sales組三、項目實施任務(wù)10-4user服務(wù)器實例解析（4）設(shè)置共享目錄的本地系統(tǒng)權(quán)限和屬組。[root@Server01~]#chmod770/companydata/sales-R[root@Server01~]#chown:sales/companydata/sales-R-R參數(shù)是遞歸用的，一定要加上。三、項目實施任務(wù)10-4user服務(wù)器實例解析（5）更改共享目錄和用戶家目錄的context值，或者禁掉SELinux。[root@Server01~]#chcon-tsamba_share_t/companydata/sales-R[root@Server01~]#chcon-tsamba_share_t/home/sale1-R[root@Server01~]#chcon-tsamba_share_t/home/sale2-R或者：[root@Server01~]#getenforceEnforcing[root@Server01~]#setenforcePermissive或者：[root@Server01~]#setenforce0三、項目實施任務(wù)10-4user服務(wù)器實例解析（6）讓防火墻放行，這一步很重要。[root@Server01~]#firewall-cmd--permanent--add-service=samba[root@Server01~]#firewall-cmd--reload //重新加載防火墻[root@Server01~]#firewall-cmd--list-allpublic(active)………………services:sshdhcpv6-clientsamba //已經(jīng)加入防火墻的允許服務(wù)

ports:………………三、項目實施任務(wù)10-4user服務(wù)器實例解析（7）重新加載samba服務(wù)并設(shè)置開機(jī)時自動啟動。

[root@Server01~]#systemctlrestartsmb[root@Server01~]#systemctlenablesmb（8）測試。一是在Windows10中利用資源管理器進(jìn)行測試，二是利用Linux客戶端。三、項目實施任務(wù)10-4user服務(wù)器實例解析以下的操作在Client2上進(jìn)行。（1）使用UNC路徑直接進(jìn)行訪問依次選擇“開始”→“運行”命令，使用UNC路徑直接進(jìn)行訪問，例如\\192.168.10.1。打開“Windows安全”對話框，如圖所示。輸入sale1或sale2及其密碼，登錄后可以正常訪問。三、項目實施任務(wù)10-4user服務(wù)器實例解析（2）使用映射網(wǎng)絡(luò)驅(qū)動器訪問samba服務(wù)器共享目錄①Windows10默認(rèn)是不會在桌面雙擊“此電腦”圖標(biāo)，再依次選擇“計算機(jī)”→“映射網(wǎng)絡(luò)驅(qū)動器”命令，如圖所示。②單擊“映射網(wǎng)絡(luò)驅(qū)動器”命令，在彈出的“映射網(wǎng)絡(luò)驅(qū)動器”對話框中選擇Z驅(qū)動器，并輸入sales共享目錄的地址，如\\\sales，如圖所示。③單擊“完成”按鈕，在接下來的對話框中輸入可以訪問sales共享目錄的samba賬號和密碼。④再次雙擊“此電腦”圖標(biāo)，如圖所示。驅(qū)動器Z就是共享目錄sales，就可以很方便地訪問了。三、項目實施任務(wù)10-5配置可匿名訪問的samba服務(wù)器【例10-6】公司需要添加samba服務(wù)器作為文件服務(wù)器，工作組名為Workgroup，共享目錄為/share，共享名為public，這個共享目錄允許公司所有員工下載文件，但不允許上傳文件。step1：在Server01上建立share目錄，并在其下建立測試文件，設(shè)置共享文件夾本地系統(tǒng)權(quán)限。[root@Server01～]#mkdir/share;touch/share/test_share.tar[root@Server01～]#chmod645/share-R三、項目實施任務(wù)10-5配置可匿名訪問的samba服務(wù)器step2：修改samba主配置文件smb.conf。

[root@Server01～]#vim/etc/samba/smb.conf在任務(wù)10-4的基礎(chǔ)上修改配置文件，與任務(wù)10-4配置文件內(nèi)容一樣的不再顯示出來。

39 [global] …………44 maptoguest=baduser …………50 [public]51 comment=public52 path=/share53 guestok=yes54 #允許匿名用戶訪問

55 browseable=yes56 #在客戶端顯示共享的目錄

57 public=yes58 #最后設(shè)置允許匿名訪問

59 readonly=yes三、項目實施任務(wù)10-5配置可匿名訪問的sam