Samba服務及其配置.ppt

1、第10章 Samba服務及其配置,XX大學XX系 XXX 2020年8月15日,本章提要,samba簡介 Samba服務器的配置 Samba服務的訪問 網(wǎng)絡的目標是讓用戶更方便地共享信息。如果網(wǎng)絡中既有Windows機器又有Linux機器，以及其他Unix類的機器，如要相互共享資源，使用Samba服務是很好的選擇。Samba會允許文件和打印機被網(wǎng)絡中的所有系統(tǒng)共享。Samba使用 SMB（Server Message Block）協(xié)議通過網(wǎng)絡連接共享文件和打印機，支持該協(xié)議的操作系統(tǒng)包括 Microsoft Windows、OS/2、Linux和Unix。本章主要介紹Samba的配置和使用，以

2、及相關的安全性問題。,Samba簡介,SMB通信協(xié)議是Microsoft和Intel在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡的通訊協(xié)議。通過“NetBIOS over TCP/IP”使得Samba不但能在局域網(wǎng)內共享資源，而且能與Internet上的主機共享資源，這是因為Internet上的主機所使用的通訊協(xié)議就是TCP/IP。SMB工作在OSI參考模型的上面三層，是會話層（Session Layer）、表示層（Presentation Layer）及小部分應用層 （Application Layer）的協(xié)議。SMB使用了NetBIOS的應用程序接口（Application P

3、rogram Interface，簡稱API）。另外，它是一個開放性的協(xié)議，允許協(xié)議擴展使得它變得更大而且復雜，大約有65個最上層的作業(yè)，而每個作業(yè)都超過了120個函數(shù)。最近微軟又把 SMB 改名為 CIFS（Common Internet File System，公共Internet文件系統(tǒng)），并且加入了許多新的特色，而Samba亦支持NT Lan Manager 0.12等 SMB 的延伸協(xié)議，這使得Samba具有管理NT網(wǎng)域的能力。,表10-1 Samba服務器的組件,Samba的功能,通過使用Samba，可以實現(xiàn)如下功能： 提供Windows NT風格的文件和打印機共享。當Window

4、s 98、Windows 2000/XP、Windows 2003及Vista等共享Linux操作系統(tǒng)的資源時，外表看起來和共享Windows的資源沒有區(qū)別。 解析NetBIOS名字。在Windows網(wǎng)絡中，為了能夠利用網(wǎng)上資源，同時自己的資源也能被別人所利用，各個主機都定期地向網(wǎng)上廣播自己的身份信息。而負責收集這些信息，為別的主機提供檢索情報的服務器就被稱為瀏覽服務器。Samba可以有效地完成這項功能。在跨越網(wǎng)關的時候Samba還可以作WINS服務器使用。 提供SMB客戶功能。利用Samba提供的smbclient程序可以從Linux下以類似于 FTP的方式訪問Windows的資源。 備份P

5、C上的資源 利用一個叫smbtar的Shell 腳本，可以使用 tar 格式備份和恢復一臺遠程 Windows上的共享文件。 提供一個命令行工具，在其上可以有限制地支持NT的某些管理功能。 支持Samba管理工具SWAT（Samba Web Administration Tool）。 支持加密傳輸SSL（Secure Socket Layer）。 SAMBA服務器的安裝和使用,SAMBA服務器的安裝,在Fedora 8安裝時，可以選擇安裝SAMBA服務器，如果不確定系統(tǒng)是否安裝了SAMBA服務器，可以使用以下方法判斷： rootCandy rootrpm qa samba samba-3.0.

6、26a-6.fc8 如上顯示表明已經(jīng)安裝。 如果在Fedora 8安裝時沒有選擇SAMBA服務器，那么需要先找出Fedora 8安裝光盤DVD中保存在/Packages目錄下以samba開頭的RPM包文件，然后輸入以下指令，系統(tǒng)即會自動完成安裝SAMBA服務器的任務： rootCandy root#rpm ivh samba-3.0.26a-6.fc8.i386.rpm rootCandy root#rpm ivh samba-common-3.0.26a-6.fc8.i386.rpm rootCandy root#rpm ivh samba-client-3.0.26a-6.fc8.i386

7、.rpm,SAMBA服務器的啟動和退出,可以以多種方式啟動Samba服務器。 通過命令方式啟動Samba rootCandy root# /etc/rc.d/init.d/smb start 或 rootCandy root# service smb start 屏幕顯示如圖10-1所示。,圖10-1 Samba服務器的啟動,在X Window 下啟動SAMBA,選擇“系統(tǒng)”|“管理”|“服務”，打開“服務配置”對話框，選中“smb”服務，然后單擊工具欄上的“啟動”按鈕。如圖10-2所示：,圖10-2 在圖形方式下啟動Samba服務,在系統(tǒng)啟動時自動啟動Samba,通過命令chkconfig可

8、設定在系統(tǒng)啟動時自動啟動Samba： rootCandy root#chkconfig -level 345 smb on 要停止Samba服務器，可以使用以下命令： rootCandy root#/etc/rc.d/init.d/smb stop 或者 rootCandy root#service smb stop,Samba服務器的配置,在啟動Samba服務之前，首先需要完成Samba服務器的配置，本節(jié)將介紹Samba服務的配置。 圖形界面下配置Samba服務器 可以使用圖形界面的配置工具進行配置，進入Linux的GUI界面（如Gnome）后使用命令system-config-samba進

9、入配置界面，如圖10-3所示。在圖形界面下可以配置常見的Samba功能。,圖10-3 Samba圖形配置界面,圖形界面下配置Samba服務器,1配置 Samba 服務器的第一步是配置服務器的基本設置和安全選項。在圖10-3所示的界面中，選擇 “首選項”|“服務器設置”?！被尽边x項卡如圖 10-4所示。在“基本”選項卡上，指定計算機所屬的工作組以及計算機的簡短描述。它們與下文中文本界面配置文件smb.conf 中的 workgroup 和 server string選項相對應。,圖 10-4 配置基本服務器設置,圖形界面下配置Samba服務器,單擊“安全性”選項卡，如圖10-5所示。該包含以下

10、選項：,圖 10-5 配置安全服務器設置,管理 Samba 用戶,Samba 服務器配置工具要求在添加 Samba 用戶之前，在充當 Samba 服務器的Fedora 8系統(tǒng)上必須存在一個活躍的現(xiàn)存用戶賬號。Samba 用戶和這個現(xiàn)存的Linux用戶賬號相關聯(lián)。 要添加 Samba 用戶，選擇“首選項”|“Samba 用戶”，然后單擊“添加用戶”按鈕。在“創(chuàng)建新Samba用戶”窗口中的本地系統(tǒng)上的現(xiàn)存用戶列表中選擇“Unix 用戶名”。如果用戶在 Windows 機器上有一個不同的用戶名，并將從 Windows 機器上登錄入 Samba 服務器，請在“Windows 用戶名”字段中指定 Win

11、dows 用戶名。“服務器設置”首選項的“安全”選項卡上的”驗證模式” 必須被設置為“用戶”才能使這個選項生效。,管理 Samba 用戶（續(xù)）,還需要為 Samba 用戶配置一個“Samba 口令”，并再鍵入一次來確認這個口令。即便選擇了為 Samba使用加密口令，仍建議為所有用戶設置的Samba口令不同于他們的 Linux系統(tǒng)口令。 要編輯某個現(xiàn)存用戶，可以從列表中選擇它，然后單擊“編輯用戶”。要刪除某個現(xiàn)存的 Samba 用戶，選擇這個用戶，然后單擊“刪除用戶”按鈕。刪除 Samba 用戶不會刪除相關的Linux用戶賬號。如圖10-6所示，選擇UNIX用戶名為“Bob”，并設置相應Samb

12、a密碼。單擊了“確定”按鈕后，用戶就會被立即修改。,圖 10-6 管理 Samba 用戶,添加共享,要添加共享，在圖10-3所示的界面中單擊“添加共享”按鈕。“基本”選項卡配置以下選項： “目錄” 通過 Samba 共享的目錄。這個目錄必須存在，這里配置為/home/Bob/myshare。 “共享名” 共享的名稱，通過該名稱訪問共享目錄。 “描述” 對共享的簡短描述。 在描述下面是用戶訪問該共享的基本權限。 設置用戶是應該能夠讀寫共享目錄中的文件還是僅僅只能讀取。如圖10-7所示。,圖10-7 添加共享,文本界面下配置Samba服務器,Linux系統(tǒng)的特點在于其強大的命令管理功能，系統(tǒng)管理員

13、更多的是使用文本界面下的配置工具進行配置。因此，以下主要介紹命令方式下Samba服務的配置。要配置Samba服務器，主要需要配置smb.conf文件。 /etc/samba/smb.conf是Samba中最重要的一個配置文件，類似Windows的*.ini文件，通過他可以配置服務器的權限，共享目錄、打印機和機器所屬的工作組等各種選項,它主要由兩個部分組成：Global Settings 和 Share Definitions。前者的設置都是與Samba整體環(huán)境有關的選項，這里的設置是全局設置，適合于每個共享目錄；而后者是共享目錄的個別設置。,smb.conf的語法說明,a文件分為幾個部分，每一

14、部分都包括幾個參數(shù)，用來定義samba共享及其詳細信息。 b文件的每一段用一個方括號括起來，不區(qū)分大小寫，如global、home等。 c每一段用“名稱值”的格式來設置參數(shù)，如netbios nameCandy。 d行首加“#”、或“；”表示該行為注釋行。 下面先用一個實際的例子來說明smb.conf的配置： 例， /etc/samba/smb.conf配置文件 global workgroup = MYGROUP security = user homes guest ok = yes path = /tmp_share read only = yes,測試smb.conf,一般設置好/et

15、c/samba/smb.conf之后，需要用testparm命令檢查文件中是否有錯誤。如果設置語法一切正確，則在執(zhí)行testparm后系統(tǒng)出現(xiàn)的畫面如圖10-9所示。,圖10-9 testparm命令運行情況,global基本參數(shù),global部分是smb.conf配置文件中最重要的部分，它是Samba的整體環(huán)境設置部分，本部分參數(shù)主要有基本設置參數(shù)、安全設置參數(shù)、網(wǎng)絡設置參數(shù)、文件設置參數(shù)、打印機設置參數(shù)、用戶權限設置參數(shù)和日志設置參數(shù)等。 Workgroup = MYGROUP 設定Samba服務器要加入的工作組的名稱，也即出現(xiàn)在Windows操作系統(tǒng)中“網(wǎng)絡鄰居”里面的名稱。 Netbi

16、os name = Candy 設定本機在網(wǎng)絡鄰居中顯示的計算機名。 Server string = Samba Server 設定Samba服務器的文字說明，默認為“Samba Server”。 Hosts allow = 192.168.1. 192.168.2. 127. 此功能在默認狀態(tài)下不啟用，它用于設定局域網(wǎng)中哪些主機允許存取Samba服務器。 Printcap name = /etc/samba/printcap 打印機配置文件。 Load printers = yes 表示是否要共享打印機。,global基本參數(shù)（續(xù)）,Printing = cups 一般標準打印機類型不需要設

17、置此項目。 Guest account = nobody 此項目功能在默認狀態(tài)下不啟用，如果希望建立一個客戶帳號，則選擇該項，同時需要在/etc/passwd文件中定義該帳號，若未指定則Samba服務器會以“nobody”作為客戶帳號。 Log file = /var/log/samba/%m.log 指定了log日志文件的存放地址。 Security = share 指定Samba服務器使用的安全等級，默認值為“user”，此處可用的等級有：share、user、server和domain四種。 Encrypt passwords = yes 設定是否使用加密方式傳送口令，默認為“yes”，

18、因為目前Windows操作系統(tǒng)均使用加密方式傳送秘密，因此建議使用此設置值。,global基本參數(shù)（續(xù)）,Smb passwd file = /etc/samba/smbpasswd 設定Samba服務器秘密文件的位置，若無此文件，則需自行建立。 Interfaces = /24 /24 此項設定可以使用Samba服務器同時監(jiān)聽多個網(wǎng)絡接口，若主機上有多張網(wǎng)卡，應該設置此項目，默認為關閉狀態(tài)。 Local master = no 設置是否讓Samba服務器擔任網(wǎng)絡的主瀏覽服務器，默認為“no”。 Wins support = yes 設置是否支持

19、WINS服務。 Wins server = w.x.y.z 設置WINS服務器的地址（SAMBA服務器可作為WINS客戶機或WINS服務器）。,共享服務段基本參數(shù),/etc/samba/smb.conf中包含多個以中括號( )開頭的共享資源段，每一個共享資源段主要由提供訪問的路徑和訪問權限組成，共享資源可以是文件資源，也可以是打印資源。而“ ”中的名稱也就是在Windows系統(tǒng)中“網(wǎng)上鄰居”中出現(xiàn)的名稱。 一般來說共享資源段可以供guest級帳號訪問，使用guest級帳號訪問不需要用戶名和秘密碼，而guest級帳號的權限是在Linux中由系統(tǒng)管理員分配的。共享資源段也可以提供給普通用戶訪問，而

20、普通用戶對共享資源段的訪問權限是基于Linux系統(tǒng)設定的對資源的訪問權限，不能超出此權限。,共享服務段基本參數(shù)（續(xù)）,下面介紹幾個主要的共享資源段的實例: homes 用戶個人主目錄段 Comment = Home Directories 共享目錄的描述。 Browseable = no 是否允許其他用戶瀏覽個人用戶主目錄，默認為禁止。 Path = /home 個人用戶主目錄的路徑。 Writeable = yes 是否允許個人主目錄寫操作，默認為yes。 Valid users = %S 允許登錄的用戶，%S表示目前登錄的用戶。 Guest ok = yes 表示所有用戶均可以不需要密碼登

21、錄個人用戶主目錄。 Create mode = 0664 對于新增文件的默認權限。,共享服務段基本參數(shù)（續(xù)）,Directory mode = 0775 對于新增目錄的默認權限。 printer打印機配置段 Comment = All Printers 打印機描述。 Path = /var/spool/samba 打印機隊列路徑。 Browseable = no 是否允許瀏覽打印機的暫存內容，一般不需要。 Guest ok = no 連接打印機時是否不需要密碼。 Writable = no 是否允許寫入此目錄。 Printable = yes 是否允許用戶打印。,共享服務段基本參數(shù)（續(xù)）, p

22、ublic “public”目錄設置段 Comment = Public Stuff 目錄描述。 Path = /pub 實際共享路徑。 Public = yes 是否允許目錄共享。 Writable = yes 是否允許寫目錄。 Guest ok = yes 是否允許guest帳號訪問。 Printable = yes 是否允許打印目錄內容。 ;write list =stuff 擁有讀取及寫入權限的用戶或組（以“”開頭表示）。,Windows客戶端訪問Samba服務器,Linux系統(tǒng)中使用Samba最主要的原因就是便于Windows用戶訪問Linux服務器。如果希望局域網(wǎng)中用戶user1能

23、夠訪問Linux上名稱為/shrdir的目錄（或分區(qū)），可以按照如下步驟實現(xiàn)： 1在global中security參數(shù)設為user或share。 2在Linux系統(tǒng)中創(chuàng)建用戶user1，并設置它的口令與Windows系統(tǒng)中的完全一樣。例如，如果在Windows系統(tǒng)中user1的口令為“123”，則在Linux中user1的口令也同樣為“123”（不一樣則在連接Samba服務器時會被再次要求輸入口令）。此外，還需要在/etc/group中創(chuàng)建一個shrdir的用戶組，使用戶user1成為shrdir中唯一的成員。命令序列如下： rootCandy root#useradd user1 rootC

24、andy root#passwd user1 rootCandy root#groupadd shrdir rootCandy root#usermod g shrdir user1,Windows客戶端訪問Samba服務器（續(xù)）,3在smb.conf中添加如下內容： shrdir Comment = Shrdir Directory Path = /shrdir Public = no Writeable = yes Write list = shrdir Printable = no 在shrdir的配置中，確定/shrdir不能被公開訪問，并且僅允許shrdir用戶組對/shrdir進行

25、寫操作。按照上面的配置完成后，通過testparm測試沒語法錯誤后就可以重啟Samba服務。,Windows客戶端訪問Samba服務器(續(xù)),按照上面的步驟進行配置后，用戶user1就可以從Windows中的“網(wǎng)絡鄰居”訪問Linux上的/shrdir了。如圖10-10所示。 注：若要創(chuàng)建一個只讀的samba服務器，則可以將Writeable參數(shù)設為no，并且刪除Write list參數(shù)。,圖10-10 在Windows“網(wǎng)上鄰居”中訪問Linux資源,Linux客戶訪問Windows的共享資源或Samba服務器,如果要讓Linux客戶訪問Windows 系統(tǒng)中的共享目錄、或Linux通過Sa

26、mba服務器共享的目錄，可以通過smbclient或smbmount實現(xiàn)。首先應確定Linux上安裝了smb-client軟件包?？梢允褂孟旅娴姆椒y試： rootCandy root#rpm qa samba-client samba-client-3.0.26a-6.fc8 smbclient是一個基本的訪問Windows 共享目錄或Samba共享目錄的軟件，語法格式如下： smbclient -U username 其中servicename是要連接的共享資源名稱，使用諸如“/server/service”的格式（其中server是遠程計算機的名字，service是共享目錄的名字）。Us

27、ername是Windows系統(tǒng)中的用戶名。例如，假設Windows機器名是WINTEST，共享目錄是PUBLIC，允許訪問Windows的用戶名是Alice。那么可以這樣執(zhí)行smbclient： #smbclient /WINTEST/PUBLIC U Alice,Linux客戶訪問Windows的共享資源或Samba服務器（續(xù)）,smbclient常用命令有： cd 目錄名 改變當前目錄 del 文件名 刪除文件 dir 顯示目錄 get 文件名 從服務器下載文件并且存放到本地目錄 lcd 目錄名 改變本地目錄 mget 一組文件 取得成組文件 put 文件名 上傳文件 recurse 激

28、活遞歸模式，在這個模式下可以連子目錄一起操作 mput 一組文件 成組上載文件 rmdir 刪除目錄 mkdir 建立目錄,打印機共享,Samba中涉及打印共享的參數(shù)主要有以下幾個 1）在global字段中涉及共享打印機的主要字段 printcap name =/etc/printercap 這是指定打印機配置文件的位置。打印守護進程讀取printcap文件中的配置信息，監(jiān)視打印機的工作情況。 load printers 指定是否要加載打印機（使打印機可以共享）。默認值為yes。如果用戶想要自動載入打印機列表，而不是個別地安裝，則必須在此指定以上兩項。 printing =cups 指定打印系

29、統(tǒng)類型。只有在打印系統(tǒng)不是標準的情況下，才必須指定，否則不必指定。指定打印系統(tǒng)類型將影響到smb.conf文件中與打印機相關的命令（如print,lpq,lppause,lpresune）的執(zhí)行方式。默認的打印系統(tǒng)類型為bsd，其他的類型還有sysv,plp,lprng,hpux,qnx,cups。,設置smb.conf的打印共享配置,global /按上文將有關共享打印機的幾個主要配置參數(shù)寫到此處 printers/這部分用于配置打印機共享，所有用戶都可以共享打印機。 comment = All Printers /注釋文字 path = /var/spool/samba /設置打印機隊列的

30、位置，用戶必須自行創(chuàng)建該目錄，存放打印的臨時文件 browseable = no /不允許瀏覽共享打印機 #Set public = yes to allow user guest account to print guest ok = no /必須用帳號和密碼才可以訪問共享打印機 writable = no /共享打印機，writable必須設置為no printable = yes /允許用戶更改打印機隊列中的文件 fredsprn /該共享的打印機只允許fred私人使用 comment = Freds Printer valid users = fred path = /home/fred /打印機隊列是fred的用戶目錄，要主義fred必須有權