網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 Linux（麒麟歐拉）（微課版）（第5版） 課件 項目5、6 配置與管理samba服務(wù)器、配置與管理NFS服務(wù)器

項目5

配置與管理samba服務(wù)器《網(wǎng)絡(luò)服務(wù)器搭建、配置與管理Linux（麒麟/歐拉）》“十四五”職業(yè)教育國家規(guī)劃教材能力要求CAPACITY掌握samba的工作原理。0103掌握主配置文件samba.conf的配置方法。02掌握samba文件和打印共享的設(shè)置方法。04掌握samba服務(wù)密碼文件的配置方法。思政導入IDEOLOGY了解“計算機界的諾貝爾獎”——圖靈獎，了解華人科學家姚期智，激發(fā)學生的求知欲，從而喚醒學生“沉睡”的潛能。思政目標IDEOLOGY“觀眾器者為良匠，觀眾病者為良醫(yī)?！薄盀閷W日益，為道日損?！鼻嗄陮W生要多動手、多動腦，只有多實踐、多積累，才能提高技藝，才能成為優(yōu)秀的“工匠”。思政內(nèi)容IDEOLOGY圖靈獎（TuringAward）全稱A.M.圖靈獎（A.MTuringAward），是由美國計算機協(xié)會（AssociationforComputingMachinery，ACM）于1966年設(shè)立的計算機獎項，名稱取自艾倫·麥席森西森·圖靈（AlanMathisonTuring），旨在獎勵對計算機事業(yè)做出重要貢獻的個人。圖靈獎對獲獎條件要求極高，評獎程序極嚴，一般每年僅授予一名計算機科學家。圖靈獎是計算機領(lǐng)域的國際最高獎項，被譽為“計算機界的諾貝爾獎”。2000年，科學家姚期智獲圖靈獎。項目知識準備項目設(shè)計與準備項目實施項目實錄：配置與管理samba服務(wù)器內(nèi)容導航CONTENTS一、項目知識準備了解samba應(yīng)用環(huán)境文件和打印機共享：文件和打印機共享是samba的主要功能，通過SMB進程實現(xiàn)資源共享，將文件和打印機發(fā)布到網(wǎng)絡(luò)之中，以供用戶訪問。身份驗證和權(quán)限設(shè)置：smbd服務(wù)支持usermode和domainmode等身份驗證和權(quán)限設(shè)置模式，通過加密方式可以保護共享的文件和打印機。名稱解析：samba通過nmbd服務(wù)可以搭建NBNS（NetBIOSNameService）服務(wù)器，提供名稱解析，將計算機的NetBIOS名解析為IP地址。瀏覽服務(wù)：局域網(wǎng)中，samba服務(wù)器可以成為本地主瀏覽服務(wù)器（LMB），保存可用資源列表，當使用客戶端訪問Windows網(wǎng)上鄰居時，會提供瀏覽列表，顯示共享目錄、打印機等資源。一、項目知識準備了解SMB協(xié)議SMB（ServerMessageBlock）通信協(xié)議可以看作是局域網(wǎng)上共享文件和打印機的一種協(xié)議。samba則是將SMB協(xié)議搬到UNIX系統(tǒng)上來使用，通過“NetBIOSoverTCP/IP”，使用samba不但能與局域網(wǎng)絡(luò)主機共享資源，而且能與全世界的計算機共享資源。一、項目知識準備samba的工作原理samba服務(wù)功能強大，這與其通信基于SMB協(xié)議有關(guān)。SMB協(xié)議不僅具有文件和打印機共享功能，還支持身份驗證和權(quán)限設(shè)置。在早期，SMB協(xié)議運行于NBT協(xié)議（NetBIOSoverTCP/IP）上，使用UDP的137、138端口及TCP的139端口，后期SMB協(xié)議經(jīng)過開發(fā)，可以直接運行于TCP/IP上，沒有額外的NBT層，使用TCP的445端口。（1） samba的工作流程當客戶端訪問服務(wù)器時，信息通過SMB協(xié)議進行傳輸，其工作過程可以分成以下4個步驟。①協(xié)議協(xié)商?？蛻舳嗽谠L問samba服務(wù)器時，發(fā)送negprot命令數(shù)據(jù)包，告知目標計算機其支持的SMB協(xié)議類型，samba服務(wù)器根據(jù)客戶端的情況，選擇最優(yōu)的SMB協(xié)議類型并做出響應(yīng)，如圖5-1所示。一、項目知識準備samba的工作原理②建立連接。當SMB協(xié)議類型確認后，客戶端會發(fā)送sessionsetup命令數(shù)據(jù)包，提交賬號和密碼，請求與samba服務(wù)器建立連接。如果客戶端通過身份驗證，則samba服務(wù)器會對sessionsetup報文做出響應(yīng)，并為用戶分配唯一的UID，在客戶端與其通信時使用，如圖所示。一、項目知識準備samba的工作原理③訪問共享資源。客戶端訪問samba服務(wù)器的共享資源時，發(fā)送treeconnect命令數(shù)據(jù)包，通知samba服務(wù)器需要訪問的共享資源名。如果設(shè)置允許，則samba服務(wù)器會為每個客戶端與共享資源連接分配線程ID（ThreadID），客戶端即可訪問需要的共享資源，如圖所示。④斷開連接。共享功能使用完畢，客戶端向samba服務(wù)器發(fā)送treedisconnect報文，關(guān)閉共享功能，與samba服務(wù)器斷開連接，如圖所示。一、項目知識準備samba的工作原理（2） samba的相關(guān)進程samba服務(wù)由兩個進程組成，分別是nmbd和smbd。①nmbd：其功能是解析NetBIOS，提供瀏覽服務(wù)并顯示網(wǎng)絡(luò)上的共享資源列表。②smbd：其主要功能是管理samba服務(wù)器上的共享目錄、打印機等，主要是對網(wǎng)絡(luò)上的共享資源進行管理。當要訪問服務(wù)器，要查找共享文件時，就要依靠smbd這個進程來管理數(shù)據(jù)傳輸。項目知識準備項目設(shè)計與準備項目實施項目實錄：配置與管理samba服務(wù)器內(nèi)容導航CONTENTS二、項目設(shè)計與準備（1）samba的工作流程samba的工作流程如圖所示。（1）客戶端請求訪問samba服務(wù)器上的共享目錄。（2）samba服務(wù)器接收到請求后，會查詢主配置文件smb.conf，看是否共享了目錄，如果共享了目錄則查看客戶端是否有權(quán)限訪問。（3）samba服務(wù)器會將本次訪問信息記錄在日志文件之中，日志文件的名稱和路徑都需要我們設(shè)置。（4）如果客戶端滿足訪問權(quán)限設(shè)置，則允許客戶端進行訪問。二、項目設(shè)計與準備了解samba服務(wù)器配置的工作流程1.基本的samba服務(wù)器的搭建流程主要分為5個步驟。（1）編輯主配置文件smb.conf，指定需要共享的目錄，并為共享目錄設(shè)置共享權(quán)限。（2）在smb.conf文件中指定日志文件名稱和存放路徑。（3）設(shè)置共享目錄的本地系統(tǒng)權(quán)限。（4）重新加載配置文件或重新啟動SMB服務(wù)，使配置生效。（5）關(guān)閉防火墻，同時設(shè)置SELinux為允許。二、項目設(shè)計與準備設(shè)備準備本項目要用到Server01、Client3和Client1，設(shè)備情況如表所示:主

機

名操作系統(tǒng)IP地址網(wǎng)絡(luò)連接方式samba共享服務(wù)器：Server01Kylin

V10/24VMnet8（NAT

模式）Windows客戶端：Client3Kylin

V100/24VMnet8（NAT

模式）Linux客戶端：Client1Windows

101/24VMnet8（NAT

模式）項目知識準備項目設(shè)計與準備項目實施項目實錄：配置與管理samba服務(wù)器內(nèi)容導航CONTENTS三、項目實施任務(wù)5-1安裝并啟動samba服務(wù)使用rpm-qa|grepsamba命令檢測系統(tǒng)是否安裝了samba相關(guān)性軟件包：[root@Server01~]#rpm-qa|grepsamba（1）掛載ISO安裝映像。

[root@Server01~]#mount/dev/cdrom/media（2）制作yum源文件/etc/yum.repos.d/dvd.repo（略）。（3）使用dnf命令查看samba軟件包的信息。[root@Server01~]#dnfinfosamba（4）使用yum命令安裝samba服務(wù)。[root@Server01~]#dnfcleanall //安裝前先清除緩存[root@Server01~]#dnfinstallsamba-y三、項目實施任務(wù)5-1安裝并啟動samba服務(wù)（5）所有軟件包安裝完畢，可以使用rpm命令再一次進行查詢：[root@Server01~]#rpm-qa|grepsamba（6）啟動smb服務(wù)，設(shè)置開機啟動該服務(wù)，重啟服務(wù)。[root@Server01~]#systemctlstartsmb;systemctlenablesmb注意：在服務(wù)器配置中，更改了配置文件后，一定要記得重啟服務(wù)，讓服務(wù)重新加載配置文件，這樣新配置才生效。重啟的命令是：systemctlrestartsmb或systemctlreloadsmb三、項目實施任務(wù)5-2主要配置文件smb.conf1．samba服務(wù)程序中的參數(shù)以及作用samba的配置文件一般就放在/etc/samba目錄中，主配置文件名為smb.conf。KylinV10的smb.conf配置文件已經(jīng)簡化，只有37行左右。為了方便配置，建議先備份smb.conf，一旦發(fā)現(xiàn)錯誤可以隨時從備份文件中恢復(fù)主配置文件。操作如下:[root@Server01~]#cd/etc/samba[root@Server01samba]#ls[root@Server01samba]#cpsmb.confsmb.conf.bak[root@Server01samba]#cd三、項目實施任務(wù)5-2主要配置文件smb.conf2．ShareDefinitions共享服務(wù)的定義ShareDefinitions設(shè)置對象為共享目錄和打印機，如果想發(fā)布共享資源，需要對ShareDefinitions部分進行配置。（1）設(shè)置共享名。共享名的設(shè)置非常簡單，格式為：[共享名]（2）共享資源描述。格式：comment=備注信息（3）共享路徑。格式：path=絕對地址路徑三、項目實施任務(wù)5-2主要配置文件smb.conf（4）設(shè)置匿名訪問。設(shè)置是否允許對共享資源進行匿名訪問，可以更改public字段。格式：public=yes#允許匿名訪問public=no#禁止匿名訪問三、項目實施任務(wù)5-2主要配置文件smb.conf【例5-1】samba服務(wù)器中有個目錄為/share，需要發(fā)布該目錄成為共享目錄，定義共享名為public，要求：允許瀏覽、允許只讀、允許匿名訪問。設(shè)置如下所示。[public] comment=public path=/share browseable=yes readonly=yes public=yes三、項目實施任務(wù)5-2主要配置文件smb.conf（5）設(shè)置訪問用戶。如果共享資源存在重要數(shù)據(jù)的話，需要對訪問用戶進行審核，我們可以使用validusers字段進行設(shè)置。格式：validusers=用戶名validusers=@組名【例5-2】samba服務(wù)器/share/tech目錄中存放了公司技術(shù)部數(shù)據(jù)，只允許技術(shù)部員工和經(jīng)理訪問，技術(shù)部組為tech，經(jīng)理賬號為manager。[tech]comment=techpath=/share/techvalidusers=@tech,manager三、項目實施任務(wù)5-2主要配置文件smb.conf（6）設(shè)置目錄只讀。共享目錄如果需要限制用戶的讀寫操作，我們可以通過readonly實現(xiàn)。格式：readonly=yes#只讀readonly=no#讀寫（7）設(shè)置過濾主機。hostsallow=192.168.10.上述程序表示允許來自或的訪問者訪問samba服務(wù)器資源。hostsdeny=192.168.2.上述程序表示不允許來自網(wǎng)絡(luò)的主機訪問當前samba服務(wù)器資源。三、項目實施任務(wù)5-2主要配置文件smb.conf【例5-3】samba服務(wù)器公共目錄/public存放大量共享數(shù)據(jù)，為保證目錄安全，僅允許網(wǎng)絡(luò)的主機訪問，并且只允許讀取，禁止寫入。[public]comment=publicpath=/publicpublic=yesreadonly=yeshostsallow=192.168.10.三、項目實施任務(wù)5-2主要配置文件smb.conf（8）設(shè)置目錄可寫。如果共享目錄允許用戶寫操作，可以使用writable或writelist兩個字段進行設(shè)置。writable格式：writable=yes#讀寫writable=no#只讀writelist格式：writelist=用戶名writelist=@組名三、項目實施任務(wù)5-3samba服務(wù)的日志文件和密碼文件日志文件對于samba非常重要，它存儲著客戶端訪問samba服務(wù)器的信息，以及samba服務(wù)的錯誤提示信息等，可以通過分析日志，幫助解決客戶端訪問和服務(wù)器維護等問題。在/etc/samba/smb.conf文件中，logfile為設(shè)置samba日志的字段。如下所示：logfile=/var/log/samba/log.%msamba服務(wù)的日志文件默認存放在/var/log/samba/中，其中samba會為每個連接到samba服務(wù)器的計算機分別建立日志文件。使用ls-a/var/log/samba命令可以查看日志的所有文件。三、項目實施任務(wù)5-3samba服務(wù)的日志文件和密碼文件2．samba服務(wù)密碼文件samba服務(wù)器發(fā)布共享資源后，客戶端訪問samba服務(wù)器，需要提交用戶名和密碼進行身份驗證，驗證合格后才可以登錄。samba服務(wù)為了實現(xiàn)客戶身份驗證功能，將用戶名和密碼信息存放在/etc/samba/smbpasswd中，在客戶端訪問時，將用戶提交的資料與smbpasswd中存放的信息進行比對，如果相同，并且samba服務(wù)器其他安全設(shè)置允許，客戶端與samba服務(wù)器的連接才能建立成功。三、項目實施任務(wù)5-3samba服務(wù)的日志文件和密碼文件那如何建立samba賬號呢？首先，samba賬號并不能直接建立，需要先建立Linux同名的系統(tǒng)賬號。例如，如果要建立一個名為yy的samba賬號，那么Linux系統(tǒng)中必須提前存在一個同名的yy系統(tǒng)賬號。samba中添加賬號的命令為smbpasswd，格式為：smbpasswd-a用戶名三、項目實施任務(wù)5-3samba服務(wù)的日志文件和密碼文件【例5-4】在samba服務(wù)器中添加samba賬號reading。（1）建立Linux系統(tǒng)賬號reading。[root@Server01~]#useraddreading[root@Server01~]#passwdreading（2）添加reading用戶的samba賬號。[root@Server01~]#smbpasswd-areading三、項目實施任務(wù)5-4user服務(wù)器實例解析在KylinV10中，samba服務(wù)程序默認使用的是用戶口令認證（user）模式。這種認證模式可以確保僅讓有密碼且受信任的用戶訪問共享資源，而且驗證過程十分簡單。【例5-5】如果公司有多個部門，因工作需要，就必須分門別類地建立相應(yīng)部門的目錄。要求將銷售部的資料存放在samba服務(wù)器的/companydata/sales/目錄下集中管理，以便銷售人員瀏覽，并且該目錄只允許銷售部員工訪問。需求分析：在/companydata/sales/目錄中存放有銷售部的重要數(shù)據(jù)，為了保證其他部門無法查看其內(nèi)容，我們需要將全局配置中security設(shè)置為user安全級別。這樣就啟用了samba服務(wù)器的身份驗證機制。然后在共享目錄/companydata/sales下設(shè)置validusers字段，配置只允許銷售部員工訪問這個共享目錄。三、項目實施任務(wù)5-4user服務(wù)器實例解析（1）建立共享目錄，并在其下建立測試文件。[root@Server01~]#mkdir/companydata[root@Server01~]#mkdir/companydata/sales[root@Server01~]#touch/companydata/sales/test_share.tar三、項目實施任務(wù)5-4user服務(wù)器實例解析（2）添加銷售部用戶和組并添加相應(yīng)的samba賬號。①使用groupadd命令添加sales組，然后執(zhí)行useradd命令和passwd命令，以添加銷售部員工的賬號及密碼。此處單獨增加一個test_user1賬號，不屬于sales組，供測試用。[root@Server01~]#groupaddsales #建立銷售組sales[root@Server01~]#useradd-gsalessale1 #建立用戶sale1，添加到sales組[root@Server01~]#useradd-gsalessale2 #建立用戶sale2，添加到sales組[root@Server01~]#useraddtest_user1 #供測試用[root@Server01~]#passwdsale1 #設(shè)置用戶sale1密碼[root@Server01~]#passwdsale2 #設(shè)置用戶sale2密碼[root@Server01~]#passwdtest_user1 #設(shè)置用戶test_user1密碼三、項目實施任務(wù)5-4user服務(wù)器實例解析②為銷售部成員添加相應(yīng)samba賬號。[root@Server01~]#smbpasswd-asale1[root@Server01~]#smbpasswd-asale2三、項目實施任務(wù)5-4user服務(wù)器實例解析（3）修改samba主配置文件：vim/etc/samba/smb.conf。直接在原文件未尾添加，但要注意將原文件的[global]刪除或用“#”注釋掉，文件中不能有兩個同名的[global]。當然也可直接在原來的[global]上進行修改。

39[global]40workgroup=Workgroup41serverstring=FileServer42security=user43#設(shè)置user安全級別模式，取默認值

44passdbbackend=tdbsam45printing=cups46printcapname=cups47loadprinters=yes48cupsoptions=raw

49[sales]50#設(shè)置共享目錄的共享名為sales51comment=sales52path=/companydata/sales53#設(shè)置共享目錄的絕對路徑

54writable=yes55browseable=yes56validusers=@sales57#設(shè)置可以訪問的用戶為sales組三、項目實施任務(wù)5-4user服務(wù)器實例解析（4）設(shè)置共享目錄的本地系統(tǒng)權(quán)限和屬組。[root@Server01~]#chmod770/companydata/sales-R[root@Server01~]#chown:sales/companydata/sales-R-R參數(shù)是遞歸用的，一定要加上。三、項目實施任務(wù)5-4user服務(wù)器實例解析（5）更改共享目錄和用戶家目錄的context值，或者禁掉SELinux。[root@Server01~]#chcon-tsamba_share_t/companydata/sales-R[root@Server01~]#chcon-tsamba_share_t/home/sale1-R[root@Server01~]#chcon-tsamba_share_t/home/sale2-R或者：[root@Server01~]#getenforceEnforcing[root@Server01~]#setenforcePermissive或者：[root@Server01~]#setenforce0三、項目實施任務(wù)5-4user服務(wù)器實例解析（6）讓防火墻放行，這一步很重要。[root@Server01~]#firewall-cmd--permanent--add-service=samba[root@Server01~]#firewall-cmd--reload //重新加載防火墻[root@Server01~]#firewall-cmd--list-allpublic(active)………………services:sshdhcpv6-clientsamba //已經(jīng)加入防火墻的允許服務(wù)

ports:………………三、項目實施任務(wù)5-4user服務(wù)器實例解析（7）重新加載samba服務(wù)并設(shè)置開機時自動啟動。

[root@Server01~]#systemctlrestartsmb[root@Server01~]#systemctlenablesmb（8）測試。一是在Windows10中利用資源管理器進行測試，二是利用Linux客戶端。三、項目實施任務(wù)5-4user服務(wù)器實例解析以下的操作在Client2上進行。（1）使用UNC路徑直接進行訪問依次選擇“開始”→“運行”命令，使用UNC路徑直接進行訪問，例如\\192.168.10.1。打開“Windows安全”對話框，如圖所示。輸入sale1或sale2及其密碼，登錄后可以正常訪問。三、項目實施任務(wù)5-4user服務(wù)器實例解析（2）使用映射網(wǎng)絡(luò)驅(qū)動器訪問samba服務(wù)器共享目錄①Windows10默認是不會在桌面雙擊“此電腦”圖標，再依次選擇“計算機”→“映射網(wǎng)絡(luò)驅(qū)動器”命令，如圖所示。②單擊“映射網(wǎng)絡(luò)驅(qū)動器”命令，在彈出的“映射網(wǎng)絡(luò)驅(qū)動器”對話框中選擇Z驅(qū)動器，并輸入sales共享目錄的地址，如\\\sales，如圖所示。③單擊“完成”按鈕，在接下來的對話框中輸入可以訪問sales共享目錄的samba賬號和密碼。④再次雙擊“此電腦”圖標，如圖所示。驅(qū)動器Z就是共享目錄sales，就可以很方便地訪問了。三、項目實施任務(wù)5-5配置可匿名訪問的samba服務(wù)器【例5-6】公司需要添加samba服務(wù)器作為文件服務(wù)器，工作組名為Workgroup，共享目錄為/share，共享名為public，這個共享目錄允許公司所有員工下載文件，但不允許上傳文件。step1：在Server01上建立share目錄，并在其下建立測試文件，設(shè)置共享文件夾本地系統(tǒng)權(quán)限。[root@Server01～]#mkdir/share;touch/share/test_share.tar[root@Server01～]#chmod645/share-R三、項目實施任務(wù)5-5配置可匿名訪問的samba服務(wù)器step2：修改samba主配置文件smb.conf。

[root@Server01～]#vim/etc/samba/smb.conf在任務(wù)5-4的基礎(chǔ)上修改配置文件，與任務(wù)5-4配置文件內(nèi)容一樣的不再顯示出來。

39 [global] …………44 maptoguest=baduser …………50 [public]51 comment=public52 path=/share53 guestok=yes54 #允許匿名用戶訪問

55 browseable=yes56 #在客戶端顯示共享的目錄

57 public=yes58 #最后設(shè)置允許匿名訪問

59 readonly=yes三、項目實施任務(wù)5-5配置可匿名訪問的samba服務(wù)器step3：讓防火墻放行samba服務(wù)。在任務(wù)5-4中已詳細設(shè)置，這里不再贅述。。step4：更改共享目錄的context值。[root@Server01～]#chcon-tsamba_share_t/sharestep5：重新加載配置?？梢允褂胷estart重新啟動服務(wù)或者使用reload重新加載配置。[root@Server01～]#systemctlrestartsmb//或者[root@Server01～]#systemctlreloadsmb三、項目實施任務(wù)5-5配置可匿名訪問的samba服務(wù)器（2）解決Windows10默認不允許匿名訪問的問題①在Client2的命令提示符下輸入命令“gpedit.msc”，并單擊“確定”按鈕。②待本地組策略編輯器彈出后，依次選取“計算機管理”→“管理模板”→“網(wǎng)絡(luò)”→“l(fā)anman工作站”命令。③在右側(cè)窗口找到“啟用不安全的來賓登錄”選項，將之調(diào)整為“已啟用”，單擊“應(yīng)用”→“確定”按鈕。④重啟設(shè)備再次測試。三、項目實施任務(wù)5-6samba高級服務(wù)器配置samba高級服務(wù)器配置使我們搭建的samba服務(wù)器功能更強大，管理更靈活，數(shù)據(jù)也更安全。1.用戶賬號映射samba的用戶賬號信息被保存在smbpasswd文件中，而且可以訪問samba服務(wù)器的賬號也必須對應(yīng)一個同名的系統(tǒng)賬號?；谶@一點，對于一些入侵者來說，只要知道samba服務(wù)器的samba賬號，就等于知道了Linux系統(tǒng)賬號，只要“暴力破解”其samba賬號密碼并加以利用，就可以攻擊samba服務(wù)器。為了保障samba服務(wù)器的安全，使用用戶賬號映射。那么什么是用戶賬號映射呢？使用用戶賬號映射需要建立一個賬號映射關(guān)系表，里面記錄了samba賬號和虛擬賬號（映射賬號）的對應(yīng)關(guān)系，客戶端訪問samba服務(wù)器時就使用映射賬號來登錄。三、項目實施任務(wù)5-6samba高級服務(wù)器配置【例5-7】將例5-5中的sale1賬號分別映射為suser1和myuser1，將sale2賬號映射為suser2。（僅對與例5-5中不同的地方進行設(shè)置，相同的設(shè)置不贅述，如權(quán)限、防火墻等。）（1） 編輯主配置文件/etc/samba/smb.conf。在[global]下添加一行語句usernamemap=/etc/samba/smbusers，開啟用戶賬號映射功能。（2） 編輯/etc/samba/smbusers。smbusers文件中保存有賬號映射關(guān)系，其固定格式如下。

samba賬號=虛擬賬號（映射賬號） 本例應(yīng)加入下面的行。賬號sale1就是前文建立的samba賬號（同時也是Linux系統(tǒng)賬號），suser1及myuser1是映射賬號。訪問共享目錄時，只要使用suser1或myuser1，就可以成功訪問了，但是實際上訪問samba服務(wù)器的還是sale1賬號，這樣就解決了安全問題。同樣，suser2是sale2的映射賬號。三、項目實施任務(wù)5-6samba高級服務(wù)器配置（3） 重啟samba服務(wù)。[root@Server01~]#systemctlrestartsmb（4） 驗證效果。先注銷Windows10，然后在Windows10客戶端的資源管理器地址欄中輸入\\（samba服務(wù)器的地址是），在彈出的對話框中輸入定義的映射賬號myuser1及密碼（注意不是輸入賬號sale1及密碼），如圖所示。單擊“確定”按鈕，打開圖所示的服務(wù)器上的共享資源界面，在空白處右擊，選擇“新建”→“文件夾”命令，可以成功建立文件夾。映射賬號myuser1的密碼和sale1賬號的一樣，并且可以通過映射賬號瀏覽共享目錄。三、項目實施任務(wù)5-6samba高級服務(wù)器配置2.客戶端訪問控制對于samba服務(wù)器的安全性，可以使用validusers字段實現(xiàn)用戶訪問控制，但是如果企業(yè)龐大且存在大量用戶，這種方法操作起來就比較麻煩。比如samba服務(wù)器共享一個目錄，但是要禁止某個IP子網(wǎng)或某個域的客戶端訪問，使用validusers字段就無法實現(xiàn)客戶端訪問控制，而使用hostsallow和hostsdeny兩個字段可以實現(xiàn)該功能。（1）hostsallow和hostsdeny字段的使用方法hostsallow字段定義允許訪問的客戶端hostsdeny字段定義禁止訪問的客戶端三、項目實施任務(wù)5-6samba高級服務(wù)器配置（2）hostsallow和hostsdeny的作用范圍將hostsallow和hostsdeny設(shè)置在不同的位置上，它們的作用范圍就不一樣。設(shè)置在[global]中，表示對samba服務(wù)器全局生效；設(shè)置在目錄下，則表示只對這個目錄生效。[global]hostsdeny=ALLhostsallow=6這樣設(shè)置表示只有6才可以訪問samba服務(wù)器，全局生效[security]hostsdeny=ALLhostsallow=6三、項目實施任務(wù)5-6samba高級服務(wù)器配置（3） 使用IP地址進行訪問控制。【例5-8】仍以例5-5為例，某公司內(nèi)部samba服務(wù)器上的共享目錄/companydata/sales用于存放銷售部的資料，公司規(guī)定/24這個網(wǎng)段的IP地址禁止訪問sales共享目錄，但是0這個IP地址可以訪問。①修改配置文件smb.conf。在配置文件smb.conf中添加hostsdeny和hostsallow字段。[sales]comment=salespath=/companydata/sales#設(shè)置共享目錄的絕對路徑hostsdeny=192.168.10.#禁止所有來自/24網(wǎng)段的IP地址訪問hostsallow=0#允許0這個IP地址訪問三、項目實施任務(wù)5-6samba高級服務(wù)器配置（4） 使用域名進行訪問控制?！纠?-9】某公司samba服務(wù)器上共享了一個目錄public，公司規(guī)定.域的客戶端不能訪問，并且主機名為client1的客戶端也不能訪問。（5） 使用通配符進行訪問控制?！纠?-10】samba服務(wù)器上共享了一個目錄security，規(guī)定除主機boss外的其他賬號不允許訪問。3.設(shè)置samba的權(quán)限【例5-12】某公司samba服務(wù)器上有共享目錄tech，公司規(guī)定只有boss賬號和tech組成員擁有完全控制權(quán)限，其他賬號只有只讀權(quán)限。三、項目實施任務(wù)5-6samba高級服務(wù)器配置4.samba的隱藏共享（1） 使用browseable字段實現(xiàn)隱藏共享?！纠?-13】把samba服務(wù)器上技術(shù)部的共享目錄tech隱藏。（2） 使用獨立配置文件?！纠?-14】samba服務(wù)器上有一個共享目錄tech，此目錄只有boss賬號可以訪問，其他賬號都不可以訪問。三、項目實施任務(wù)5-7samba的打印共享在默認情況下，samba的打印服務(wù)是開放的，只要把打印機安裝好，客戶端就可以使用打印機。1．設(shè)置global配置項修改smb.conf全局配置，開啟打印共享功能。[global]loadprinters=yescupsoptions=rawprintcapname=/etc/三、項目實施任務(wù)5-7samba的打印共享2．設(shè)置printers配置項[printers]comment=Allprinterspath=/usr/spool/sambabrowseable=noguestok=nowritable=yesprintable=yes使用默認設(shè)置就可以讓客戶端正常使用打印機了。需要注意的是，printable字段一定要設(shè)置成yes，path字段定義打印機隊列，可以根據(jù)需要定制。另外，共享打印和共享目錄不一樣，安裝完打印機后必須重新啟動samba服務(wù)，否則客戶端可能無法看到共享的打印機。如果只允許部分員工使用打印機，則可以使用validusers、hostsallow或hostsdeny字段來實現(xiàn)，可以參見前文的講解。項目知識準備項目設(shè)計與準備項目實施項目實錄：配置與管理Samba服務(wù)器內(nèi)容導航CONTENTS1.視頻學習四、項目實錄配置與管理Samba服務(wù)器實訓前請掃描二維碼觀看“項目實錄

配置與管理samba服務(wù)器”慕課。2．項目背景某公司有system、develop、productdesign和test等4個小組，個人辦公操作系統(tǒng)為Windows10，少數(shù)開發(fā)人員采用Linux操作系統(tǒng)，服務(wù)器操作系統(tǒng)為openEulerOS，需要設(shè)計一套建立在openEulerOS之上的安全文件共享方案。每個用戶都有自己的網(wǎng)絡(luò)磁盤，develop組到test組有共用的網(wǎng)絡(luò)硬盤，所有用戶（包括匿名用戶）有一個只讀共享資料庫；所有用戶（包括匿名用戶）要有一個存放臨時文件的文件夾。網(wǎng)絡(luò)拓撲如圖所示。四、項目實錄配置與管理Samba服務(wù)器3．項目要求（1）System組具有管理所有samba空間的權(quán)限。（2）各部門的私有空間：各小組擁有自己的空間，除了小組成員及system組有權(quán)限以外，其他用戶不可訪問（包括列表、讀和寫）。（3）資料庫：所有用戶（包括匿名用戶）都具有讀取權(quán)限而不具有寫入數(shù)據(jù)的權(quán)限。（4）develop組與test組之外的用戶不能訪問develop組與test組的共享空間。（5）公共臨時空間：讓所有用戶可以讀取、寫入、刪除。四、項目實錄配置與管理Samba服務(wù)器項目6

配置與管理NFS服務(wù)器《網(wǎng)絡(luò)服務(wù)器搭建、配置與管理Linux（麒麟/歐拉）》“十四五”職業(yè)教育國家規(guī)劃教材能力要求CAPACITY了解NFS服務(wù)的基本原理。0103掌握NFS客戶端的配置方法。02掌握排除NFS故障的技巧。04掌握NFS服務(wù)器的配置與調(diào)試方法。思政導入IDEOLOGY了解國家科學技術(shù)獎中最高等級的獎項——國家最高科學技術(shù)獎，激發(fā)學生的科學精神和愛國情懷。思政目標IDEOLOGY“盛年不重來，一日難再晨。及時當勉勵，歲月不待人?！笔⑹乐拢嗄陮W生要惜時如金，學好知識，報效國家。思政內(nèi)容IDEOLOGY國家最高科學技術(shù)獎于2000年由中華人民共和國國務(wù)院設(shè)立，由國家科學技術(shù)獎勵工作辦公室負責，是中國5個國家科學技術(shù)獎中最高等級的獎項，授予在當代科學技術(shù)前沿取得重大突破、在科學技術(shù)發(fā)展中有卓越建樹，或者在科學技術(shù)創(chuàng)新、科學技術(shù)成果轉(zhuǎn)化和高技術(shù)產(chǎn)業(yè)化中創(chuàng)造巨大社會效益或經(jīng)濟效益的科學技術(shù)工作者。國家科學技術(shù)獎勵工作辦公室官網(wǎng)顯示，國家最高科學技術(shù)獎每年評選一次，授予人數(shù)每次不超過兩名，由國家主席親自簽署、頒發(fā)榮譽證書、獎?wù)潞酮劷?。截?021年11月，共有35位杰出科學工作者獲得該獎。其中，計算機科學家王選院士獲此殊榮。項目知識準備項目設(shè)計與準備項目實施項目實錄：配置與管理NFS服務(wù)器內(nèi)容導航CONTENTS一、項目知識準備NFS服務(wù)概述Linux操作系統(tǒng)和Windows操作系統(tǒng)之間可以通過samba共享文件，那么Linux操作系統(tǒng)之間怎么進行資源共享呢？這就要用到網(wǎng)絡(luò)文件系統(tǒng)（NetworkFileSystem，NFS）。它最早是UNIX操作系統(tǒng)之間共享文件和操作系統(tǒng)的一種方法，后來被Linux操作系統(tǒng)完美繼承。NFS與Windows操作系統(tǒng)下的“網(wǎng)上鄰居”十分相似，它允許用戶連接到一個共享位置，然后像對待本地硬盤一樣操作。NFS最早是由Sun公司（已被Oracle公司收購）于1984年開發(fā)出來的，其目的就是讓不同計算機、不同操作系統(tǒng)之間可以共享文件。由于NFS使用起來非常方便，因此很快得到了大多數(shù)UNIX/Linux操作系統(tǒng)的支持，而且被因特網(wǎng)工程任務(wù)組（InternetEngineeringTaskForce，IETF）指定為RFC1904、RFC1813和RFC3010標準。一、項目知識準備NFS服務(wù)概述1. 使用NFS的好處（1）本地工作站可以使用更少的磁盤空間，因為常規(guī)的數(shù)據(jù)可以存放在共享服務(wù)器上，而且可以通過網(wǎng)絡(luò)訪問。（2）用戶不必在網(wǎng)絡(luò)上的每臺計算機中都設(shè)一個home目錄。home目錄可以放在NFS服務(wù)器上，并且在網(wǎng)絡(luò)上處處可用。（3） 諸如CD-ROM、DVD-ROM之類的存儲設(shè)備可以在網(wǎng)絡(luò)上被其他計算機使用。這可以減少整個網(wǎng)絡(luò)上可移動存儲設(shè)備的數(shù)量。一、項目知識準備NFS服務(wù)概述1. NFS和RPC我們知道，絕大部分的網(wǎng)絡(luò)服務(wù)都有固定的端口，如Web服務(wù)器的80端口、FTP服務(wù)器的21端口、Windows下NetBIOS服務(wù)器的137～139端口、DHCP服務(wù)器的67端口……客戶端訪問服務(wù)器上相應(yīng)的端口，服務(wù)器通過端口提供服務(wù)。那么NFS服務(wù)是這樣的嗎？它的工作端口是哪個？我們只能很遺憾地說：“NFS服務(wù)的工作端口未確定?！边@是因為NFS是一個很復(fù)雜的組件，它涉及文件傳輸、身份驗證等方面的需求，每個服務(wù)器都會占用一個端口。為了防止NFS服務(wù)占用過多的固定端口，它采用動態(tài)端口的方式來工作，每個服務(wù)器提供服務(wù)時，都會隨機取用一個小于1024的端口來提供服務(wù)。但這樣一來又會對客戶端造成困擾，客戶端到底訪問哪個端口才能獲得NFS提供的服務(wù)呢？一、項目知識準備NFS服務(wù)概述1. NFS和RPC此時，就需要用到遠程過程調(diào)用（RemoteProcedureCall，RPC）服務(wù)了。RPC的主要功能是記錄每個NFS服務(wù)器對應(yīng)的端口，它工作在固定端口111。當客戶端請求提供NFS服務(wù)時，會訪問服務(wù)器的111端口（RPC），RPC會將NFS工作端口返回給客戶端。NFS啟動時，自動向RPC服務(wù)器注冊，告訴它自己各個服務(wù)器使用的端口。NFS與RPC合作為客戶端提供服務(wù)，如圖所示。一、項目知識準備NFS服務(wù)概述1. NFS和RPC

常規(guī)的NFS服務(wù)是按照如下流程進行的。①NFS服務(wù)啟動時，自動選擇工作端口小于1024的1011端口，并向RPC服務(wù)器（工作于111端口）匯報，RPC服務(wù)被記錄在案。②客戶端需要NFS提供服務(wù)時，首先向111端口的RPC服務(wù)查詢NFS服務(wù)工作在哪個端口。③RPC服務(wù)回答客戶端，NFS服務(wù)工作在1011端口。④客戶端直接訪問NFS服務(wù)器的1011端口，請求服務(wù)。⑤NFS服務(wù)經(jīng)過權(quán)限認證，允許客戶端訪問自己的數(shù)據(jù)。一、項目知識準備NFS服務(wù)的守護進程Linux中NFS服務(wù)的守護進程主要由以下6個。其中，只有前面3個是必需的，后面3個是可選的。1.rpc.nfsdrpc.nfsd守護進程的主要作用是判斷、檢查客戶端是否具備登錄主機的權(quán)限，負責處理NFS請求。2.rpc.mountedrpc.mounted守護進程的主要作用是管理NFS。當客戶端順利通過rpc.nfsd登錄主機后，在開始使用NFS提供的文件之前，它會檢查客戶端的權(quán)限（根據(jù)/etc/exports來對比客戶端的權(quán)限）。只有通過檢查后，客戶端才可以順利訪問NFS服務(wù)器上的資源。一、項目知識準備NFS服務(wù)的守護進程3. rpcbindrpcbind守護進程的主要功能是進行端口映射。當客戶端嘗試連接并使用RPC服務(wù)器提供的服務(wù)（如NFS服務(wù)）時，rpcbind會將所管理的與服務(wù)對應(yīng)的端口號提供給客戶端，從而使客戶端可以通過對應(yīng)端口向服務(wù)器請求服務(wù)。在KylinOSV10中，rpcbind默認已安裝并且已經(jīng)正常啟動。4. rpc.locked既然共享的NFS文件可以讓客戶端使用，那么當多個客戶端同時嘗試寫入某個文件時，就可能出現(xiàn)問題。rpc.locked則可以用來解決這些問題。但是rpc.locked必須要在客戶端與服務(wù)器都開啟后才可用。此外，rpc.locked也常與rpc.stated同時啟動。一、項目知識準備NFS服務(wù)的守護進程5. rpc.statedrpc.stated守護進程負責處理客戶端與服務(wù)器之間的文件鎖定問題，確定文件的一致性（與rpc.locked有關(guān)）。當因為多個客戶端同時使用一個文件而造成文件被破壞時，rpc.stated可以用來檢測該文件并嘗試恢復(fù)。6.rpc.quotadrpc.quotad守護進程提供了NFS和配額管理程序之間的接口。不管客戶端是否通過NFS對數(shù)據(jù)進行處理，都會受配額限制。項目知識準備項目設(shè)計與準備項目實施項目實錄：配置與管理NFS服務(wù)器內(nèi)容導航CONTENTS二、項目設(shè)計與準備在VMware虛擬機中啟動兩臺Linux計算機，其中一臺作為NFS服務(wù)器，主機名為Server01，規(guī)劃好IP地址，如；另一臺作為NFS客戶端，主機名為Client1，同樣規(guī)劃好IP地址，如0。配置NFS服務(wù)器，使得NFS客戶端Client1可以瀏覽NFS服務(wù)器中特定目錄下的內(nèi)容。NFS服務(wù)器和NFS客戶端使用的操作系統(tǒng)以及IP地址可以根據(jù)表來設(shè)置。二、項目設(shè)計與準備設(shè)備準備本項目要用到Server01和Client1，設(shè)備情況如表所示:主機名操作系統(tǒng)IP

地址網(wǎng)絡(luò)連接模式NFS

服務(wù)器：Server01Kylin

V10VMnet8NFS

客戶端：Client1Kylin

V100VMnet8項目知識準備項目設(shè)計與準備項目實施項目實錄：配置與管理NFS服務(wù)器內(nèi)容導航CONTENTS三、項目實施任務(wù)6-1配置一臺完整的NFS服務(wù)器1.安裝NFS服務(wù)器要成功啟用NFS服務(wù)，必須保證服務(wù)器中已經(jīng)安裝了rpcbind和nfs-utils兩個軟件包。（1） 安裝NFS服務(wù)必需的軟件包①rpcbind我們知道，NFS服務(wù)要正常運行，就必須借助RPC服務(wù)，做好端口映射工作，而這個工作就是由rpcbind負責的。一般Linux啟動后，都會自動執(zhí)行該文件，可以用以下命令查看該命令是否執(zhí)行:[root@Server01~]#ps-eaf|greprpcbindrpc9441006:33?00:00:00/usr/bin/rpcbind-w-froot31262839007:04pts/000:00:00grep--color=autorpcbind三、項目實施任務(wù)6-1配置一臺完整的NFS服務(wù)器rpcbind默認監(jiān)聽TCP和UDP的111端口，當客戶端請求RPC服務(wù)時，先與該端口聯(lián)系，詢問所請求的RPC服務(wù)是由哪個端口提供的?？梢酝ㄟ^以下命令查看111端口是否已經(jīng)處于監(jiān)聽狀態(tài)。[root@Server01~]#netstat-anp|grep:111tcp00:111:*LISTEN1/systemdtcp600:::111:::*LISTEN1/system②nfs-utilsnfs-utils是提供rpc.nfsd和rpc.mounted這兩個守護進程與其他相關(guān)文檔、執(zhí)行文件的套件，是NFS服務(wù)的主要套件。三、項目實施任務(wù)6-1配置一臺完整的NFS服務(wù)器（2）安裝NFS服務(wù)器建議在安裝NFS服務(wù)器之前，使用如下命令檢測系統(tǒng)中是否安裝了NFS相關(guān)性軟件包。[root@Server01~]#rpm-qa|grepnfs-utilsnfs-utils-2.3.3-31.el8.x86_64[root@Server01~]#rpm-qa|greprpcbindrpcbind-1.2.5-7.el8.x86_64如果系統(tǒng)中還沒有安裝NFS軟件包，則可以使用dnf命令安裝所需的軟件包。三、項目實施任務(wù)6-1配置一臺完整的NFS服務(wù)器（2）安裝NFS服務(wù)器①使用dnf命令安裝NFS軟件包。[root@Server01~]#mount/dev/cdrom/media[root@Server01~]#vim/etc/yum.repos.d/dvd.repo[root@Server01~]#dnfcleanall//安裝前先清除緩存[root@Server01~]#dnfinstallrpcbindnfs-utils–y②軟件包安裝完畢，可以使用rpm命令再次查詢。[root@Server01~]#rpm-qa|grepnfs[root@Server01~]#rpm-qa|greprpc三、項目實施任務(wù)6-1配置一臺完整的NFS服務(wù)器2．啟動NFS，并設(shè)置防火墻（1）查詢NFS的各個程序是否正常運行，命令如下。[root@Server01~]#rpcinfo–p（2）如果沒有看到nfs和mountd，則說明NFS沒有運行，需要啟動它?？梢允褂靡韵旅顔樱?個服務(wù)的啟動順序不能變）。[root@Server01~]#systemctlstartrpcbind[root@Server01~]#systemctlenablerpcbind[root@Server01~]#systemctlstartnfs-utils[root@Server01~]#systemctlstartnfs-server[root@Server01~]#systemctlenablenfs-server三、項目實施任務(wù)6-1配置一臺完整的NFS服務(wù)器2．啟動NFS，并設(shè)置防火墻（3）設(shè)置rpc-bind、mountd和nfs這3個服務(wù)的防火墻選項為允許。[root@Server01~]#firewall-cmd--permanent--add-service=rpc-bind[root@Server01~]#firewall-cmd--permanent--add-service=mountd[root@Server01~]#firewall-cmd--permanent--add-service=nfs[root@Server01~]#firewall-cmd--reload三、項目實施任務(wù)6-1配置一臺完整的NFS服務(wù)器3．配置文件/etc/exportsNFS服務(wù)的配置，主要是創(chuàng)建并維護/etc/exports文件。這個文件定義了服務(wù)器上的哪幾個部分與網(wǎng)絡(luò)上的其他計算機共享，以及共享的規(guī)則都有哪些等。（1）exports文件的格式現(xiàn)在來看看應(yīng)該如何配置/etc/exports文件。某些Linux發(fā)行套件并不會主動提供/etc/exports文件，此時需要手動創(chuàng)建。【例6-1】請看下面的示例，一定要先建立需要的共享目錄和測試文件，否則會出錯。三、項目實施任務(wù)6-1配置一臺完整的NFS服務(wù)器3．配置文件/etc/exports【例6-1】請看下面的示例，一定要先建立需要的共享目錄和測試文件，否則會出錯。[root@Server01~]#mkdir/tmp1/tmp2/home/dir1/pub[root@Server01~]#touch/tmp1/f1/tmp2/f2/home/dir1/f3/pub/f4[root@Server01~]#vim/etc/exports[root@Server01~]#cat/etc/exports-n1/Server01(rw,no_root_squash)2/tmp1*(rw)*.(rw,sync)3/tmp2/24(ro)4/home/dir1Client1(rw,all_squash,anonuid=1200,anongid=1200)5/pub*(ro,insecure,all_squash))三、項目實施任務(wù)6-1配置一臺完整的NFS服務(wù)器3．配置文件/etc/exports（2）主機名規(guī)則/etc/exports文件的設(shè)置很簡單，每一行最前面是要共享的目錄，這個目錄可以依照不同的權(quán)限共享給不同的主機。至于主機名的設(shè)定，主要有以下兩種方式。①可以使用完整的IP地址或者網(wǎng)段，例如、/24或/。②可以使用主機名，這個主機名要在/etc/hosts內(nèi)或者使用DNS，只要能被找到就行（重點是可以找到IP地址）。如果是主機名，那么它可以支持通配符，例如“*”或“？”。（3）權(quán)限規(guī)則：至于權(quán)限方面（就是圓括號內(nèi)的參數(shù)），常用參數(shù)及說明如下表所示。三、項目實施任務(wù)6-1配置一臺完整的NFS服務(wù)器參數(shù)說明rwread-write，可讀寫的權(quán)限r(nóng)oread-only，只讀權(quán)限sync將數(shù)據(jù)同步寫入內(nèi)存與硬盤當中async數(shù)據(jù)會先暫存于內(nèi)存當中，而非直接寫入硬盤no_root_squash如果登錄NFS

主機使用共享目錄的用戶，是root，那么對于這個共享目錄來說，它就具有root

的權(quán)限。這個設(shè)置極不安全，不建議使用root_squash如果登錄NFS

主機使用共享目錄的用戶是root，那么這個用戶的權(quán)限將被壓縮成匿名用戶，通常它的UID

與GID

都會變成nobody（nfsnobody）這個系統(tǒng)賬號的身份all_squash不論登錄NFS

的用戶身份如何，它的身份都會被壓縮成匿名用戶，即nobody（nfsnobody）anonuidanon是指anonymous（匿名者），前面關(guān)于squash提到的匿名用戶的UID的設(shè)定值通常為nobody（nfsnobody），但是可以自行設(shè)定這個UID。當然，這個UID

必須存在于/etc/passwd

中anongid同anonuid，但是UID

變成了GID三、項目實施任務(wù)6-1配置一臺完整的NFS服務(wù)器4.使用exportfs命令如果修改/etc/exports文件后不需要重新激活NFS，則只要使用exportfs-r命令重新掃描一次/etc/exports文件并重新將設(shè)定加載即可。exportfs命令常用選項及說明如表所示?！纠?-2】接例6-1，使用exportfs命令對/etc/exports文件進行一系列操作，觀察輸出結(jié)果。選項說明-a全部加載/etc/exports

的設(shè)置-r重新加載/etc/exports

的設(shè)置-u卸載某一目錄-v將共享目錄顯示在屏幕上三、項目實施任務(wù)6-2在客戶端掛載NFSLinux中有多個好用的命令行工具，用于查看、連接、卸載、使用NFS服務(wù)器上的共享資源。1．配置NFS客戶端配置NFS客戶端的一般步驟如下。（1）安裝nfs-utils軟件包。（2）識別要訪問的遠程共享。showmount-eNFS服務(wù)器的IP地址（3）確定掛載點。mkdir/nfstest（4）使用命令掛載NFS共享。mount-tnfsNFS服務(wù)器的IP地址:/gongxiang/nfstest（5）修改fstab文件實現(xiàn)NFS共享永久掛載。vim/etc/fstab三、項目實施任務(wù)6-2查看NFS服務(wù)器信息使用showmount命令在KylinOS中查看NFS服務(wù)器上的共享資源，其格式如下。showmount[-adehv][ServerName]showmount命令常用選項及說明如表所示。選項說明-a查看服務(wù)器上的輸出目錄和所有連接客戶端信息，顯示格式為host:dir-d只顯示被客戶端使用的輸出目錄信息-e顯示服務(wù)器上所有的輸出目錄（共享資源）三、項目實施任務(wù)6-2查看NFS服務(wù)器信息例如，如果服務(wù)器的IP地址為，則查看該服務(wù)器上的NFS共享資源，可以執(zhí)行以下命令。[root@Client1~]#showmount-eExportlistfor:/pub*/tmp1(everyone)/tmp2/24/home/dir1Client1/Server01三、項目實施任務(wù)6-2查看NFS服務(wù)器信息3．在客戶端掛載NFS服務(wù)器上的共享目錄在KylinOS中掛載NFS服務(wù)器上的共享目錄的命令為mount（即可以加載其他文件系統(tǒng)的mount）。mount-tnfs服務(wù)器名稱或IP地址:輸出目錄掛載目錄【例6-3】要掛載

這臺服務(wù)器上的/tmp1目錄，需要執(zhí)行以下操作。（1）創(chuàng)建本地目錄首先在客戶端創(chuàng)建一個本地目錄，用來掛載NFS服務(wù)器上的輸出目錄。[root@Client1~]#mkdir/nfs三、項目實施任務(wù)6-2查看NFS服務(wù)器信息3．在客戶端掛載NFS服務(wù)器上的共享目錄（2）掛載服務(wù)器目錄再使用相應(yīng)的mount命令掛載服務(wù)器目錄。[root@Client1~]#mount-tnfs:/tmp1/nfs[root@Client1~]#ll/nfs用量0-rw-r--r--1rootroot07月2814:51f1三、項目實施任務(wù)6-2查看NFS服務(wù)器信息4．卸載NFS服務(wù)器上的共享目錄要卸載剛才掛載的NFS服務(wù)器上的共享目錄，可以執(zhí)行以下命令。[root@Client1~]#umount/nfs5．在客戶端啟動時自動掛載NFS我們知道，KylinOS下的自動掛載文件系統(tǒng)都是在/etc/fstab中定義的，NFS也支持自動掛載。（1）編輯fstab文件在Client1上，用vim編輯器打開/etc/fstab，在其中添加如下一行。[root@Client1~]#vim/etc/fstab:/tmp1/nfsnfsdefaults00三、項目實施任務(wù)6-2查看NFS服務(wù)器信息5．在客戶端啟動時自動掛載NFS（2）使設(shè)置生效執(zhí)行以下命令重新掛載fstab文件中定義的文件系統(tǒng)。[root@Client1~]#mount-a[root@Client1~]#ll/nfs總用量0-rw-r--r--1rootroot07月2814:51f1三、項目實施任務(wù)6-3了解NFS服務(wù)的文件存取權(quán)限NFS服務(wù)本身并不具備用戶身份驗證功能，那么當客戶端訪問時，服務(wù)器該如何識別用戶呢？主要有以下標準。1．root賬戶如果客戶端以root賬戶訪問NFS服務(wù)器資源，則基于安全方面的考慮，服務(wù)器會主動將客戶端改成匿名用戶，所以root賬戶只能訪問服務(wù)器上的匿名資源。2．NFS服務(wù)器上有客戶端賬戶客戶端是根據(jù)UID和GID來訪問NFS服務(wù)器資源的，如果NFS服務(wù)器上有對應(yīng)的用戶名和組，就訪問與客戶端同名的資源。3．NFS服務(wù)器上沒有客戶端賬戶如果NFS服務(wù)器上沒有客戶端賬戶，則客戶端只能訪問匿名資源。三、項目實施企業(yè)NFS服務(wù)器實用案例下面將剖析一個企業(yè)NFS服務(wù)器的真實案例，提出解決方案，使讀者能夠?qū)η懊娴闹R有更深的理解。1．企業(yè)NFS服務(wù)器網(wǎng)絡(luò)拓撲企業(yè)NFS服務(wù)器網(wǎng)絡(luò)拓撲如圖6-3所示。NFS服務(wù)器Server01的IP地址是，客戶端Client1的IP地址是0，客戶端Client2的IP地址是1。其他客戶端的IP地址不再羅列。在本例中有3個域：、

和。三、項目實施企業(yè)NFS服務(wù)器實用案例2．企業(yè)需求（1）共享/pub1目錄，允許所有客戶端訪問該目錄且只有只讀權(quán)限。（2）共享/nfs/public目錄，允許/24和/24網(wǎng)段的客戶端訪問，并且對此目錄只有只讀權(quán)限。（3）共享/nfs/team1、/nfs/team2、/nfs/team3目錄，并且/nfs/team1只有域成員可以訪問并有讀寫權(quán)限，/nfs/team2、/nfs/team3目錄同理。（4）共享/nfs/works目錄，/24網(wǎng)段的客戶端具有只讀權(quán)限，并且將root用戶映射成匿名用戶。（5）共享/nfs/test目錄，所有人都具有讀寫權(quán)限，但是當用戶使用該共享目錄時，都將用戶映射成匿名用戶，并且指定匿名用戶的UID和GID都為65534。（6）共享/nfs/security目錄，僅允許0客戶端訪問并具有讀寫權(quán)限。三、項目實施企業(yè)NFS服務(wù)器實用