第8章Samba服務(wù)器配置與安全管理

第8章Samba服務(wù)器配置與安全管理8.1Samba服務(wù)概述 1．Samba簡介Samba（SMB是其縮寫）Samba是一套讓UNIX系統(tǒng)能夠應(yīng)用Microsoft網(wǎng)絡(luò)通訊協(xié)議的軟件。如圖8-1所示，Samba既可以用于Windows和Linux之間的資源共享，也一樣可用于Linux/Unix網(wǎng)絡(luò)內(nèi)部的資源共享。圖8-1Samba實現(xiàn)跨平臺的共享Samba提供了以下四大功能：

提供Windows風(fēng)格的文件和打印機共享：這是Samba的主要功能。

身份驗證和授權(quán)：支持多種身份驗證和權(quán)限設(shè)置模式，通過加密方式保護共享資源。通過用戶登錄Samba主機時做身份驗證，來提供不同身份者的個別數(shù)據(jù)。

支持NetBIOS名字解析及瀏覽：通過nmbd服務(wù)可以搭建NBNS（NetBIOSNameService）服務(wù)器，將計算機的NetBIOS名解析為IP地址。

為客戶提供網(wǎng)上鄰居瀏覽服務(wù)：Samba服務(wù)器可以成為局域網(wǎng)中的主瀏覽服務(wù)器（LMB），保存可用資源列表，為客戶端提供瀏覽列表的服務(wù)。8.1Samba服務(wù)概述 2．Samba的工作原理

（1）Samba工作流程

步驟1：協(xié)議協(xié)商

步驟2：建立連接

步驟3：訪問共享資源

步驟4：斷開連接

（2）Samba相關(guān)進程 Samba服務(wù)是由兩個進程組成，分別是nmbd和smbd。8.1Samba服務(wù)概述8.2案例導(dǎo)學(xué)——實現(xiàn)默認的文件和打印共享 8.2.1安裝 1．準(zhǔn)備工作在RHEL5中提供的與Samba服務(wù)相關(guān)的軟件包有以下幾個： samba-common：包含通用工具和庫文件。服務(wù)器和客戶端都需要安裝該軟件包。 samba：Samba服務(wù)的主程序包。Samba服務(wù)器端必須安裝該軟件包。 samba-client：連接服務(wù)器和連接網(wǎng)上鄰居的客戶端工具，并包含其測試工具。Samba客戶端必須安裝該軟件包。 samba-swat：Samba的Web配置工具。支持通過瀏覽器對Samba服務(wù)器進行圖形化管理。8.2案例導(dǎo)學(xué)——實現(xiàn)默認的文件和打印共享 2．安裝

（1）安裝Samba主程序包

（2）安裝Samba客戶端工具

（3）安裝Samba通用工具和庫文件

（4）安裝Samba圖形化管理工具8.2案例導(dǎo)學(xué)——實現(xiàn)默認的文件和打印共享 3．了解軟件包安裝的文件用命令“rpm-qlsamba”可以查詢到samba軟件包所生成的文件。主要有： /etc/pam.d/samba：samba用戶的pam認證文件 /etc/rc.d/init.d/smb：samba服務(wù)的啟動腳本 /etc/samba/smbusers：虛擬用戶與samba用戶的映射文件 /usr/bin/mksmbpasswd.sh：將系統(tǒng)帳號轉(zhuǎn)換為samba帳號的腳本文件 /usr/bin/smbstatus：顯示samba服務(wù)器的連接狀態(tài)8.2案例導(dǎo)學(xué)——實現(xiàn)默認的文件和打印共享用命令“rpm-qlsamba-client”可以查詢到samba-client軟件包所生成的工具。主要有： /sbin/mount.cifs：掛載samba文件系統(tǒng) /sbin/umount.cifs：卸載samba文件系統(tǒng) /usr/bin/nmblookup：NetBIOS名字查詢工具，類似nslookup /usr/bin/smbclient：提供訪問Samba服務(wù)器的命令行實用程序?？梢杂糜谶\行SMB協(xié)議的計算機之間復(fù)制文件以及從SMB服務(wù)器上備份文件 /sbin/mount.cifs：將遠程共享文件和目錄掛載到本地，用mount命令也可以實現(xiàn) /usr/bin/smbtree：顯示局域網(wǎng)中的共享主機和目錄列表8.2案例導(dǎo)學(xué)——實現(xiàn)默認的文件和打印共享用命令“rpm-qlsamba-common”可查詢到samba-common軟件包生成的工具。主要有： /etc/samba：Samba服務(wù)器上用來存放配置文件的位置 /etc/samba/lmhosts：用于本地解析NetBIOS名字與對應(yīng)的IP地址 /etc/samba/smb.conf：Samba服務(wù)器的主配置文件 /usr/bin/smbpasswd：管理samba用戶帳戶和密碼 /usr/bin/testparm：檢查配置文件smb.conf語法的正確性 /var/log/samba：Samba服務(wù)器上用來存放Samba的日志文件的位置 Samba服務(wù)器的主配置文件“/etc/samba/smb.conf”是安裝軟件包時自動產(chǎn)生的，可以在啟動Samba服務(wù)器后直接使用。8.2案例導(dǎo)學(xué)——實現(xiàn)默認的文件和打印共享 8.2.2使用默認配置的Samba服務(wù)器 1．Samba主配置文件主配置文件文件“smb.conf”在服務(wù)器和客戶機上都是需要的。按結(jié)構(gòu)分為兩部分：一是以“GlobalSettings”為標(biāo)識的全局設(shè)置區(qū)域，針對整個Samba服務(wù)器有效。二是以“ShareDefinitions”為標(biāo)識的共享定義區(qū)域，只對特定的共享有效。

（1）全局設(shè)置區(qū)域的配置語句

（2）共享定義區(qū)域的配置語句共享定義區(qū)域的設(shè)置對象為每個共享目錄和打印機，在方括號中設(shè)置其共享名。如果我們想發(fā)布共享資源，需要對該區(qū)域進行配置。這里可能用到的字段非常豐富，設(shè)置靈活。主配置文件:/etc/sabma/smb.conf詳解語法workgtoup=<工作組群>;

預(yù)設(shè)workgroup=MYGROUP

說明設(shè)定SambaServer的工作組

例workgroup=workgroup和WIN2000S設(shè)為一個組，可在網(wǎng)上鄰居可中看到共享語法serverstring=<說明>;

預(yù)設(shè)sarverstring=SambaServer

說明設(shè)定SambaServer的注釋

其他支持變量t%-訪問時間I%-客戶端IPm%-客戶端主機名M%-客戶端域名S%-客戶端用戶名

例serverstring=thisisaSambaServer設(shè)定出現(xiàn)在Windows網(wǎng)上鄰居的SambaServer注釋為thisisaSambaServer語法hostsaoolw=<IP地址>;...

預(yù)設(shè);hostallow=192.168.1.192.168.2.127.

說明限制允許連接到SambaServer的機器，多個參數(shù)以空格隔開。表示方法可以為

完整的IP地址，如192.168.0.1

網(wǎng)段，如192.168.0.

例hostsallow=192.168.1.192.168.0.1表示允許192.168.1網(wǎng)段的機器網(wǎng)址為192.168.0.1的機器連接到自己的sambaserver語法printcapname=<打印機配置文件>;

預(yù)設(shè)printcapname=/etc/printcap

說明設(shè)定sambasrever打印機的配置文件

例printcapname=/etc/printcap設(shè)定sambasrever參考/etc/printcap檔的打印機設(shè)定

語法printing=<打印機類型>;

預(yù)設(shè)printing=lprng

說明設(shè)定sambaserver打印機所使用的類型,37行為目前所支持的類型語法guertaccount=<帳戶名稱>;

預(yù)設(shè)guertaccount=pcguest

說明設(shè)定訪問sambaserver的來賓帳戶(即訪問時不用輸入用戶名和密碼的帳戶),若設(shè)為pcguest的話則為默認為"nobody"用戶

例guertaccount=andy設(shè)定設(shè)定訪問sambaserver的來賓帳戶以andy用戶登陸,則此登陸帳戶享有andy用戶的所有權(quán)限語法security=<等級>;

預(yù)設(shè)security=user

說明設(shè)定訪問sambaserver的安全級別共有四種

share---不需要提供用戶名和密碼

user----需要提供用戶名和密碼,而且身份驗證由sambaserver負責(zé)

server--需要提供用戶名和密碼,可指定其他機器(winNT/2000/XP)或另一臺sambaserver作身份驗證

domain--需要提供用戶名和密碼,指定winNT/2000/XP域服務(wù)器作身份驗證語法passwordserver=<IP地址/主機名>;

預(yù)設(shè)passwordserver=<NT-Server-Name>;

說明指定某臺服務(wù)器(包括windows和linux)的密碼,作為用戶登入時驗證的密碼

其他此項需配合security=server時,才可設(shè)定本參數(shù)

65行usernamelevel

語法passwordlevel=<位數(shù)>;

usernamelevel=<位數(shù)>;

預(yù)設(shè)passwordlevel=8

usernamelevel=8

說明設(shè)定用戶名和密碼的位數(shù),預(yù)設(shè)為8位字符語法encryptpasswords=<yes/no>;

預(yù)設(shè)encryptpasswords=yse

說明設(shè)定是否對samba的密碼加密語法smbpasswdfile=<密碼文件>;

預(yù)設(shè)smbpasswdfile=/etc/samba/smbpasswd

說明設(shè)定samba的密碼文件語法localmaster=<yes/no>;

預(yù)設(shè)localmaster=no

說明設(shè)定sambaserver是否要擔(dān)當(dāng)LMB角色(LMB負責(zé)收集本地網(wǎng)絡(luò)的BrowseList資源),通常無特殊原因設(shè)為no語法oslevel=<數(shù)字>;

預(yù)設(shè)oslevel=33

說明設(shè)定sambaserver的oslevel.oslevel從0到255.winNT的oslevel為33,win95/98的oslevel是1.

若要拿sambaserver當(dāng)LMB或DMB則它的oslevel至少要大于NT的33以上語法domainmaster=<yes/no>;

預(yù)設(shè)domainmaster=yes

說明設(shè)定sambaserver是否要擔(dān)當(dāng)DMB角色(DMB會負責(zé)收集其他子網(wǎng)的BrowseList資源),通常無特殊原因設(shè)為no

語法preferredmaster=<yes/no>;

預(yù)設(shè)preferredmaster=yes

說明設(shè)定sambaserver是否要擔(dān)當(dāng)PDC角色(PDC會負責(zé)追蹤網(wǎng)絡(luò)帳戶進行的一切變更),通常無特殊原因設(shè)為no.

(同一網(wǎng)段內(nèi)不可有兩個PDC,他們會每5分鐘搶主控權(quán)一次)語法winssupport=<yes/no>;

預(yù)設(shè)winssupport=yes

說明設(shè)定sambaserver是否想網(wǎng)絡(luò)提供WINS服務(wù),通常無特殊原因設(shè)為no.

除非所處網(wǎng)絡(luò)上沒有主機提供WINS服務(wù)且需要此臺sambaserver提供WINS服務(wù)是才設(shè)yes

其他winssupport和winsserver只能選擇一個語法winsserver=<IP地址>;

預(yù)設(shè)winsserver=w.x.y.z

說明設(shè)定sambaserver是否要使用別臺主機提供的WINS服務(wù).通常無特殊原因設(shè)為no.除非所處網(wǎng)絡(luò)上有一臺主機提供WINS服務(wù)才要設(shè)yes

其他winssupport和winsserver

例winsserver=192.168.0.1表示sambaserver要使用192.168.0.1提供的WINS服務(wù)

===ShareDefinitions===

[homes]

comment=HomeDirectories

browseable=no

writable=yes

validusers=%S

使用者本身的"家"目錄，當(dāng)使用者以samba使用者身份登入sambaserver后，

sambaserver底下會看到自己的家目錄，目錄名稱是使用者自己的帳號

要提供分享資源時，須先把欲分享的資源以[]符號括住，底下通常會帶指令和參數(shù)來表示此資源的設(shè)定和存取權(quán)限等,詳情如下

comment---------注釋說明

path------------分享資源的完整路徑名稱，除了路徑要正確外，目錄的權(quán)限也要設(shè)對

browseable------是yes/否no在瀏覽資源中顯示共享目錄，若為否則必須指定共享路徑才能存取

printable-------是yes/否no允許打印

hidedotftles--是yes/否no隱藏隱藏文件

public----------是yes/否no公開共享，若為否則進行身份驗證(只有當(dāng)security=share時此項才起作用)

guestok--------是yes/否no公開共享，若為否則進行身份驗證(只有當(dāng)security=share時此項才起作用)

readonly-------是yes/否no以只讀方式共享當(dāng)與writable發(fā)生沖突時也writable為準(zhǔn)

writable--------是yes/否no不以只讀方式共享當(dāng)與readonly發(fā)生沖突時，無視readonly

vaildusers-----設(shè)定只有此名單內(nèi)的用戶才能訪問共享資源(拒絕優(yōu)先)(用戶名/@組名)

invalidusers---設(shè)定只有此名單內(nèi)的用戶不能訪問共享資源(拒絕優(yōu)先)(用戶名/@組名)

readlist-------設(shè)定此名單內(nèi)的成員為只讀(用戶名/@組名)

writelist------若設(shè)定為只讀時，則只有此設(shè)定的名單內(nèi)的成員才可作寫入動作(用戶名/@組名)

createmask-----建立文件時所給的權(quán)限

directorymask--建立目錄時所給的權(quán)限

forcegroup-----指定存取資源時須以此設(shè)定的群組使用者進入才能存取(用戶名/@組名)

forceuser------指定存取資源時須以此設(shè)定的使用者進入才能存取(用戶名/@組名)

allowhosts-----設(shè)定只有此網(wǎng)段/IP的用戶才能訪問共享資源

allwohosts=網(wǎng)段exceptIP

denyhosts------設(shè)定只有此網(wǎng)段/IP的用戶不能訪問共享資源

allowhosts=本網(wǎng)段指定IP指定IP

denyhosts=指定IP本網(wǎng)段指定IP語法logfile=<日志文件>;

預(yù)設(shè)logfile=/var/log/samba/%m.log

說明設(shè)定sambaserver日志文件的儲存位置和文件名(%m代表客戶端主機名)語法maxlogsize=<??KB>;

預(yù)設(shè)maxlogsize=0

說明設(shè)定日子文件的最大容量,單位KB這里的預(yù)設(shè)值0代表不做限制8.2案例導(dǎo)學(xué)——實現(xiàn)默認的文件和打印共享 2．Samba日志文件日志文件存儲著客戶端訪問samba服務(wù)器的信息，以及samba服務(wù)的錯誤提示信息等?？梢酝ㄟ^分析日志，幫助解決客戶端訪問和服務(wù)器維護等問題。主配置文件中通過“l(fā)ogfile”指定了samba服務(wù)的日志文件默認存放在“/var/log/samba/”目錄下，啟用該語句后，samba服務(wù)器會為每臺成功連接的客戶機分別建立一個日志文件。當(dāng)samba服務(wù)器剛剛建立好后，只有兩個初始的日志文件，分別是nmbd.log和smbd.log。8.2案例導(dǎo)學(xué)——實現(xiàn)默認的文件和打印共享 3．Samba賬號文件Samba服務(wù)器中的用戶帳號應(yīng)該是具有與其同名的Linux系統(tǒng)用戶帳號，但Samba用戶的密碼和同名系統(tǒng)用戶的密碼是相互獨立的，需要分別進行維護和更改。smbpasswd命令用于維護Samba服務(wù)器的用戶帳號，它有以下幾種用法：#smbpasswd–asambauser //添加Samba用戶帳號#smbpasswd–dsambauser //禁用Samba用戶帳號#smbpasswd–esambauser //啟用Samba用戶帳號#smbpasswd–xsambauser //刪除Samba用戶帳號最后查看文件smbpasswd的內(nèi)容，檢查是否已正確添加了Samba賬號。8.2案例導(dǎo)學(xué)——實現(xiàn)默認的文件和打印共享 8.2.3應(yīng)用測試 1．啟動Samba服務(wù) 2．從Windows客戶端訪問Samba服務(wù)器

（1）通過網(wǎng)上鄰居訪問。

（2）使用UNC路徑訪問 3．從Linux客戶端訪問Samba服務(wù)器

（1）確認已安裝samba客戶端軟件包

（2）訪問Samba服務(wù)器上的共享資源

（3）smbstatus

（4）掛載samba文件系統(tǒng)到本地使用8.3課堂練習(xí)——架設(shè)基本的文件服務(wù)器

1．任務(wù)及分析任務(wù)情境：公司要在工作組company中添加一臺samba服務(wù)器作為文件服務(wù)器。把需要公開的信息發(fā)布在一個名為public的共享目錄“/share”中。為實現(xiàn)集中管理，還要為公司各部門建立相應(yīng)的目錄。比如銷售部的資料存放在samba服務(wù)器的“/cmpdata/sales/”目錄下，要求只允許銷售部員工和總經(jīng)理訪問，并且只允許銷售部經(jīng)理對數(shù)據(jù)進行維護。任務(wù)分析：該案例涵蓋了samba的基本配置。首先分析共享目錄“/share”，允許所有人訪問意味著要為每個來訪者建立一個samba帳號，如果設(shè)置語句“security=share”，就能允許所有人采用匿名賬號nobody進行訪問，簡化了設(shè)置。然而在samba服務(wù)器上還存在各部門存放重要數(shù)據(jù)的目錄，為了保證各部門數(shù)據(jù)的私密性，我們還必須對登錄的用戶進行篩選，允許或禁止相應(yīng)的用戶訪問指定的目錄，并且為不同的用戶授予不同的訪問權(quán)限。8.3課堂練習(xí)——架設(shè)基本的文件服務(wù)器

2．配置方案和過程

（1）建立一些測試用的賬號