Linux網絡操作系統(tǒng)項目教程（歐拉-麒麟）課件 （含思政）項目10 配置與管理samba服務器

項目10

配置與管理samba服務器《Linux網絡操作系統(tǒng)項目教程（歐拉/麒麟）（微課版）（第5版）》“十四五”職業(yè)教育國家規(guī)劃教材能力要求CAPACITY掌握samba的工作原理。0103掌握主配置文件samba.conf的配置方法。02掌握samba服務密碼文件的配置方法。04掌握samba服務密碼文件的配置方法。思政導入IDEOLOGY“龍芯”讓中國人自豪！請記住“龍芯”，記住“863”“973”“核高基”等國家重大項目。為中華之崛起而讀書，從來都不僅限于紙上。思政目標IDEOLOGY如果人生是一場奔赴，青春最好的“模樣”是昂首篤行、步履鏗鏘?！叭藷o剛骨，安身不牢?！惫菤馐侨说募沽?，是前行的支柱。新時代的弄潮兒要有“富貴不能淫，貧賤不能移，威武不能屈”的氣節(jié)，要有“自信人生二百年，會當水擊三千里”的勇氣，還要有“我將無我，不負人民”的擔當。思政內容IDEOLOGY

你知道“龍芯”嗎？你知道“龍芯”的應用水平嗎？通用處理器是信息產業(yè)的基礎部件，是電子設備的核心器件。通用處理器是關系到國家命運的戰(zhàn)略產業(yè)之一，其發(fā)展直接關系到國家技術創(chuàng)新能力，關系到國家安全，是國家的核心利益所在?！褒埿尽笔俏覈钤缪兄频母咝阅芡ㄓ锰幚砥飨盗?，于2001年在中國科學院計算所開始研發(fā)，得到了“863”“973”“核高基”等項目的大力支持，完成了10年的核心技術積累。2010年，中國科學院和北京市政府共同牽頭出資，龍芯中科技術有限公司正式成立，開始市場化運作，旨在將龍芯處理器的研發(fā)成果產業(yè)化。思政內容IDEOLOGY目前龍芯處理器產品在各領域取得了廣泛應用。在安全領域，龍芯處理器已經通過了嚴格的可靠性實驗，作為核心元器件應用在幾十種型號和系統(tǒng)中，2015年，龍芯處理器成功應用于北斗二代導航衛(wèi)星。在通用領域，龍芯處理器已經應用在個人計算機、服務器及高性能計算機、行業(yè)計算機終端，以及云計算終端等方面。在嵌入式領域，基于龍芯CPU的防火墻等網安系列產品已達到規(guī)模銷售；應用于國產高端數控機床等系列工控產品顯著提升了我國工控領域的自主化程度和產業(yè)化水平；龍芯提供了IP設計服務，在國產數字電視領域也與國內多家知名廠家展開合作，其IP地址授權量已達百萬片以上。項目知識準備項目設計與準備項目實施項目實錄：Linux系統(tǒng)安裝與基本配置內容導航CONTENTS一、項目知識準備了解samba應用環(huán)境文件和打印機共享：文件和打印機共享是samba的主要功能，通過SMB進程實現(xiàn)資源共享，將文件和打印機發(fā)布到網絡之中，以供用戶訪問。身份驗證和權限設置：smbd服務支持usermode和domainmode等身份驗證和權限設置模式，通過加密方式可以保護共享的文件和打印機。名稱解析：samba通過nmbd服務可以搭建NBNS（NetBIOSNameService）服務器，提供名稱解析，將計算機的NetBIOS名解析為IP地址。瀏覽服務：局域網中，samba服務器可以成為本地主瀏覽服務器（LMB），保存可用資源列表，當使用客戶端訪問Windows網上鄰居時，會提供瀏覽列表，顯示共享目錄、打印機等資源。一、項目知識準備了解SMB協(xié)議SMB（ServerMessageBlock）通信協(xié)議可以看作是局域網上共享文件和打印機的一種協(xié)議。samba則是將SMB協(xié)議搬到UNIX系統(tǒng)上來使用，通過“NetBIOSoverTCP/IP”，使用samba不但能與局域網絡主機共享資源，而且能與全世界的計算機共享資源。項目知識準備項目設計與準備項目實施項目實錄：Linux系統(tǒng)安裝與基本配置內容導航CONTENTS二、項目設計與準備了解samba服務器配置的工作流程1.基本的samba服務器的搭建流程主要分為5個步驟。（1）編輯主配置文件smb.conf，指定需要共享的目錄，并為共享目錄設置共享權限。（2）在smb.conf文件中指定日志文件名稱和存放路徑。（3）設置共享目錄的本地系統(tǒng)權限。（4）重新加載配置文件或重新啟動SMB服務，使配置生效。（5）關閉防火墻，同時設置SELinux為允許。二、項目設計與準備了解samba服務器配置的工作流程2.samba的工作流程如圖所示。（1）客戶端請求訪問samba服務器上的共享目錄。（2）samba服務器接收到請求后，會查詢主配置文件smb.conf，看是否共享了目錄，如果共享了目錄則查看客戶端是否有權限訪問。（3）samba服務器會將本次訪問信息記錄在日志文件之中，日志文件的名稱和路徑都需要我們設置。（4）如果客戶端滿足訪問權限設置，則允許客戶端進行訪問。二、項目設計與準備設備準備本項目要用到Server01、Client3和Client1，設備情況如表所示:主

機

名操作系統(tǒng)IP地址網絡連接方式samba共享服務器：Server01EulerOS22.03LTS/24VMnet1（僅主機模式）Windows客戶端：Client3Windows100/24VMnet1（僅主機模式）Linux客戶端：Client1EulerOS22.03LTS1/24VMnet1（僅主機模式）項目知識準備項目設計與準備項目實施項目實錄：Linux系統(tǒng)安裝與基本配置內容導航CONTENTS三、項目實施任務10-1安裝并啟動samba服務使用rpm-qa|grepsamba命令檢測系統(tǒng)是否安裝了samba相關性軟件包：[root@Server01~]#rpm-qa|grepsamba（1）掛載ISO安裝映像。

[root@Server01~]#mount/dev/cdrom/media（2）制作yum源文件/etc/yum.repos.d/dvd.repo（略）。（3）使用dnf命令查看samba軟件包的信息。[root@Server01~]#dnfinfosamba（4）使用yum命令安裝samba服務。[root@Server01~]#dnfcleanall //安裝前先清除緩存[root@Server01~]#dnfinstallsamba-y三、項目實施任務10-1安裝并啟動samba服務（5）所有軟件包安裝完畢，可以使用rpm命令再一次進行查詢：[root@Server01~]#rpm-qa|grepsamba（6）啟動smb服務，設置開機啟動該服務，重啟服務。[root@Server01~]#systemctlstartsmb;systemctlenablesmb注意：在服務器配置中，更改了配置文件后，一定要記得重啟服務，讓服務重新加載配置文件，這樣新配置才生效。重啟的命令是：systemctlrestartsmb或systemctlreloadsmb三、項目實施任務10-2主要配置文件smb.conf1．samba服務程序中的參數以及作用samba的配置文件一般就放在/etc/samba目錄中，主配置文件名為smb.conf。RHEL8的smb.conf配置文件已經簡化，只有37行左右。為了方便配置，建議先備份smb.conf，一旦發(fā)現(xiàn)錯誤可以隨時從備份文件中恢復主配置文件。操作如下:[root@Server01~]#cd/etc/samba[root@Server01samba]#ls[root@Server01samba]#cpsmb.confsmb.conf.bak[root@Server01samba]#cd三、項目實施任務10-2主要配置文件smb.conf2．ShareDefinitions共享服務的定義ShareDefinitions設置對象為共享目錄和打印機，如果想發(fā)布共享資源，需要對ShareDefinitions部分進行配置。（1）設置共享名。共享名的設置非常簡單，格式為：[共享名]（2）共享資源描述。格式：comment=備注信息（3）共享路徑。格式：path=絕對地址路徑三、項目實施任務10-2主要配置文件smb.conf（4）設置匿名訪問。設置是否允許對共享資源進行匿名訪問，可以更改public字段。格式：public=yes#允許匿名訪問public=no#禁止匿名訪問三、項目實施任務10-2主要配置文件smb.conf【例10-1】samba服務器中有個目錄為/share，需要發(fā)布該目錄成為共享目錄，定義共享名為public，要求：允許瀏覽、允許只讀、允許匿名訪問。設置如下所示。[public] comment=public path=/share browseable=yes readonly=yes public=yes三、項目實施任務10-2主要配置文件smb.conf（5）設置訪問用戶。如果共享資源存在重要數據的話，需要對訪問用戶進行審核，我們可以使用validusers字段進行設置。格式：validusers=用戶名validusers=@組名【例10-2】samba服務器/share/tech目錄中存放了公司技術部數據，只允許技術部員工和經理訪問，技術部組為tech，經理賬號為manager。[tech]comment=techpath=/share/techvalidusers=@tech,manager三、項目實施任務10-2主要配置文件smb.conf（6）設置目錄只讀。共享目錄如果需要限制用戶的讀寫操作，我們可以通過readonly實現(xiàn)。格式：readonly=yes#只讀readonly=no#讀寫（7）設置過濾主機。hostsallow=192.168.10.上述程序表示允許來自或的訪問者訪問samba服務器資源。hostsdeny=192.168.2.上述程序表示不允許來自網絡的主機訪問當前samba服務器資源。三、項目實施任務10-2主要配置文件smb.conf【例10-3】samba服務器公共目錄/public存放大量共享數據，為保證目錄安全，僅允許網絡的主機訪問，并且只允許讀取，禁止寫入。[public]comment=publicpath=/publicpublic=yesreadonly=yeshostsallow=192.168.10.三、項目實施任務10-2主要配置文件smb.conf（8）設置目錄可寫。如果共享目錄允許用戶寫操作，可以使用writable或writelist兩個字段進行設置。writable格式：writable=yes#讀寫writable=no#只讀writelist格式：writelist=用戶名writelist=@組名三、項目實施任務10-3samba服務的日志文件和密碼文件日志文件對于samba非常重要，它存儲著客戶端訪問samba服務器的信息，以及samba服務的錯誤提示信息等，可以通過分析日志，幫助解決客戶端訪問和服務器維護等問題。在/etc/samba/smb.conf文件中，logfile為設置samba日志的字段。如下所示：logfile=/var/log/samba/log.%msamba服務的日志文件默認存放在/var/log/samba/中，其中samba會為每個連接到samba服務器的計算機分別建立日志文件。使用ls-a/var/log/samba命令可以查看日志的所有文件。三、項目實施任務10-3samba服務的日志文件和密碼文件2．samba服務密碼文件samba服務器發(fā)布共享資源后，客戶端訪問samba服務器，需要提交用戶名和密碼進行身份驗證，驗證合格后才可以登錄。samba服務為了實現(xiàn)客戶身份驗證功能，將用戶名和密碼信息存放在/etc/samba/smbpasswd中，在客戶端訪問時，將用戶提交的資料與smbpasswd中存放的信息進行比對，如果相同，并且samba服務器其他安全設置允許，客戶端與samba服務器的連接才能建立成功。三、項目實施任務10-3samba服務的日志文件和密碼文件那如何建立samba賬號呢？首先，samba賬號并不能直接建立，需要先建立Linux同名的系統(tǒng)賬號。例如，如果要建立一個名為yy的samba賬號，那么Linux系統(tǒng)中必須提前存在一個同名的yy系統(tǒng)賬號。samba中添加賬號的命令為smbpasswd，格式為：smbpasswd-a用戶名三、項目實施任務10-3samba服務的日志文件和密碼文件【例10-4】在samba服務器中添加samba賬號reading。（1）建立Linux系統(tǒng)賬號reading。[root@Server01~]#useraddreading[root@Server01~]#passwdreading（2）添加reading用戶的samba賬號。[root@Server01~]#smbpasswd-areading三、項目實施任務10-4user服務器實例解析在openEuler中，samba服務程序默認使用的是用戶口令認證（user）模式。這種認證模式可以確保僅讓有密碼且受信任的用戶訪問共享資源，而且驗證過程十分簡單?！纠?0-5】如果公司有多個部門，因工作需要，就必須分門別類地建立相應部門的目錄。要求將銷售部的資料存放在samba服務器的/companydata/sales/目錄下集中管理，以便銷售人員瀏覽，并且該目錄只允許銷售部員工訪問。需求分析：在/companydata/sales/目錄中存放有銷售部的重要數據，為了保證其他部門無法查看其內容，我們需要將全局配置中security設置為user安全級別。這樣就啟用了samba服務器的身份驗證機制。然后在共享目錄/companydata/sales下設置validusers字段，配置只允許銷售部員工訪問這個共享目錄。三、項目實施任務10-4user服務器實例解析（1）建立共享目錄，并在其下建立測試文件。[root@Server01~]#mkdir/companydata[root@Server01~]#mkdir/companydata/sales[root@Server01~]#touch/companydata/sales/test_share.tar三、項目實施任務10-4user服務器實例解析（2）添加銷售部用戶和組并添加相應的samba賬號。①使用groupadd命令添加sales組，然后執(zhí)行useradd命令和passwd命令，以添加銷售部員工的賬號及密碼。此處單獨增加一個test_user1賬號，不屬于sales組，供測試用。[root@Server01~]#groupaddsales #建立銷售組sales[root@Server01~]#useradd-gsalessale1 #建立用戶sale1，添加到sales組[root@Server01~]#useradd-gsalessale2 #建立用戶sale2，添加到sales組[root@Server01~]#useraddtest_user1 #供測試用[root@Server01~]#passwdsale1 #設置用戶sale1密碼[root@Server01~]#passwdsale2 #設置用戶sale2密碼[root@Server01~]#passwdtest_user1 #設置用戶test_user1密碼三、項目實施任務10-4user服務器實例解析②為銷售部成員添加相應samba賬號。[root@Server01~]#smbpasswd-asale1[root@Server01~]#smbpasswd-asale2三、項目實施任務10-4user服務器實例解析（3）修改samba主配置文件：vim/etc/samba/smb.conf。直接在原文件未尾添加，但要注意將原文件的[global]刪除或用“#”注釋掉，文件中不能有兩個同名的[global]。當然也可直接在原來的[global]上進行修改。

39[global]40workgroup=Workgroup41serverstring=FileServer42security=user43#設置user安全級別模式，取默認值

44passdbbackend=tdbsam45printing=cups46printcapname=cups47loadprinters=yes48cupsoptions=raw

49[sales]50#設置共享目錄的共享名為sales51comment=sales52path=/companydata/sales53#設置共享目錄的絕對路徑

54writable=yes55browseable=yes56validusers=@sales57#設置可以訪問的用戶為sales組三、項目實施任務10-4user服務器實例解析（4）設置共享目錄的本地系統(tǒng)權限和屬組。[root@Server01~]#chmod770/companydata/sales-R[root@Server01~]#chown:sales/companydata/sales-R-R參數是遞歸用的，一定要加上。三、項目實施任務10-4user服務器實例解析（5）更改共享目錄和用戶家目錄的context值，或者禁掉SELinux。[root@Server01~]#chcon-tsamba_share_t/companydata/sales-R[root@Server01~]#chcon-tsamba_share_t/home/sale1-R[root@Server01~]#chcon-tsamba_share_t/home/sale2-R或者：[root@Server01~]#getenforceEnforcing[root@Server01~]#setenforcePermissive或者：[root@Server01~]#setenforce0三、項目實施任務10-4user服務器實例解析（6）讓防火墻放行，這一步很重要。[root@Server01~]#firewall-cmd--permanent--add-service=samba[root@Server01~]#firewall-cmd--reload //重新加載防火墻[root@Server01~]#firewall-cmd--list-allpublic(active)………………services:sshdhcpv6-clientsamba //已經加入防火墻的允許服務

ports:………………三、項目實施任務10-4user服務器實例解析（7）重新加載samba服務并設置開機時自動啟動。

[root@Server01~]#systemctlrestartsmb[root@Server01~]#systemctlenablesmb（8）測試。一是在Windows10中利用資源管理器進行測試，二是利用Linux客戶端。三、項目實施任務10-4user服務器實例解析以下的操作在Client2上進行。（1）使用UNC路徑直接進行訪問依次選擇“開始”→“運行”命令，使用UNC路徑直接進行訪問，例如\\192.168.10.1。打開“Windows安全”對話框，如圖所示。輸入sale1或sale2及其密碼，登錄后可以正常訪問。三、項目實施任務10-4user服務器實例解析（2）使用映射網絡驅動器訪問samba服務器共享目錄①Windows10默認是不會在桌面雙擊“此電腦”圖標，再依次選擇“計算機”→“映射網絡驅動器”命令，如圖所示。②單擊“映射網絡驅動器”命令，在彈出的“映射網絡驅動器”對話框中選擇Z驅動器，并輸入sales共享目錄的地址，如\\\sales，如圖所示。③單擊“完成”按鈕，在接下來的對話框中輸入可以訪問sales共享目錄的samba賬號和密碼。④再次雙擊“此電腦”圖標，如圖所示。驅動器Z就是共享目錄sales，就可以很方便地訪問了。三、項目實施任務10-5配置可匿名訪問的samba服務器【例10-6】公司需要添加samba服務器作為文件服務器，工作組名為Workgroup，共享目錄為/share，共享名為public，這個共享目錄允許公司所有員工下載文件，但不允許上傳文件。step1：在Server01上建立share目錄，并在其下建立測試文件，設置共享文件夾本地系統(tǒng)權限。[root@Server01～]#mkdir/share;touch/share/test_share.tar[root@Server01～]#chmod645/share-R三、項目實施任務10-5配置可匿名訪問的samba服務器step2：修改samba主配置文件smb.conf。

[root@Server01～]#vim/etc/samba/smb.conf在任務10-4的基礎上修改配置文件，與任務10-4配置文件內容一樣的不再顯示出來。

39 [global] …………44 maptoguest=baduser …………50 [public]51 comment=public52 path=/share53 guestok=yes54 #允許匿名用戶訪問

55 browseable=yes56 #在客戶端顯示共享的目錄

57 public=yes58 #最后設置允許匿名訪問

59 readonly=yes三、項目實施任務10-5配置可匿名訪問的sam