《Linux網(wǎng)絡(luò)操作系統(tǒng)項(xiàng)目教程（統(tǒng)信UOS V20）（微課版）》項(xiàng)目5配置與管理samba服務(wù)器

《Linux網(wǎng)絡(luò)操作系統(tǒng)項(xiàng)目教程（統(tǒng)信UOSV20）（微課版）》項(xiàng)目5

配置與管理samba服務(wù)器能力CAPACITY要求掌握samba的工作原理掌握主配置文件samba.conf的配置方法掌握samba服務(wù)密碼文件的配置方法掌握samba文件和打印共享的設(shè)置方法思政IDEOLOGY導(dǎo)入了解“計(jì)算機(jī)界的諾貝爾獎(jiǎng)”——圖靈獎(jiǎng)，了解華人科學(xué)家姚期智，激發(fā)學(xué)生的求知欲，從而喚醒學(xué)生沉睡的潛能。思政IDEOLOGY目標(biāo)“觀眾器者為良匠，觀眾病者為良醫(yī)?！薄盀閷W(xué)日益，為道日損。”青年學(xué)生要多動(dòng)手、多動(dòng)腦，只有多實(shí)踐，多積累，才能提高技藝，也才能成為優(yōu)秀的“工匠”。思政IDEOLOGY內(nèi)容你知道圖靈獎(jiǎng)嗎？你知道哪位華人科學(xué)家獲得過此殊榮嗎？圖靈獎(jiǎng)（TuringAward）全稱A.M.圖靈獎(jiǎng)（A.MTuringAward），是由美國(guó)計(jì)算機(jī)協(xié)會(huì)（AssociationforComputingMachinery，ACM）于1966年設(shè)立的計(jì)算機(jī)獎(jiǎng)項(xiàng)，名稱取自艾倫·馬西森·圖靈（AlanMathisonTuring），旨在獎(jiǎng)勵(lì)對(duì)計(jì)算機(jī)事業(yè)做出重要貢獻(xiàn)的個(gè)人。圖靈獎(jiǎng)對(duì)獲獎(jiǎng)條件要求極高，評(píng)獎(jiǎng)程序極嚴(yán)，一般每年僅授予一名計(jì)算機(jī)科學(xué)家。圖靈獎(jiǎng)是計(jì)算機(jī)領(lǐng)域的國(guó)際最高獎(jiǎng)項(xiàng)，被譽(yù)為“計(jì)算機(jī)界的諾貝爾獎(jiǎng)”。思政IDEOLOGY內(nèi)容國(guó)內(nèi)多家知名廠家展開合作，其IP地址授權(quán)量已達(dá)百萬片以上。項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：配置與管理Samba服務(wù)器一、項(xiàng)目知識(shí)準(zhǔn)備了解samba應(yīng)用環(huán)境文件和打印機(jī)共享：文件和打印機(jī)共享是samba的主要功能，通過SMB進(jìn)程實(shí)現(xiàn)資源共享，將文件和打印機(jī)發(fā)布到網(wǎng)絡(luò)之中，以供用戶訪問。身份驗(yàn)證和權(quán)限設(shè)置：smbd服務(wù)支持usermode和domainmode等身份驗(yàn)證和權(quán)限設(shè)置模式，通過加密方式可以保護(hù)共享的文件和打印機(jī)。名稱解析：samba通過nmbd服務(wù)可以搭建NBNS（NetBIOSNameService）服務(wù)器，提供名稱解析，將計(jì)算機(jī)的NetBIOS名解析為IP地址。瀏覽服務(wù)：局域網(wǎng)中，samba服務(wù)器可以成為本地主瀏覽服務(wù)器（LMB），保存可用資源列表，當(dāng)使用客戶端訪問Windows網(wǎng)上鄰居時(shí)，會(huì)提供瀏覽列表，顯示共享目錄、打印機(jī)等資源。一、項(xiàng)目知識(shí)準(zhǔn)備了解SMB協(xié)議SMB（ServerMessageBlock）通信協(xié)議可以看作是局域網(wǎng)上共享文件和打印機(jī)的一種協(xié)議。samba則是將SMB協(xié)議搬到UNIX系統(tǒng)上來使用，通過“NetBIOSoverTCP/IP”，使用samba不但能與局域網(wǎng)絡(luò)主機(jī)共享資源，而且能與全世界的計(jì)算機(jī)共享資源。一、項(xiàng)目知識(shí)準(zhǔn)備samba工作原理SMB協(xié)議不僅提供目錄和打印機(jī)共享，還支持認(rèn)證、權(quán)限設(shè)置?？梢灾苯舆\(yùn)行于TCP/IP上，沒有額外的NBT層，使用TCP的445端口。一、項(xiàng)目知識(shí)準(zhǔn)備samba工作原理（1）samba的工作流程當(dāng)客戶端訪問服務(wù)器時(shí)，信息通過SMB協(xié)議進(jìn)行傳輸，其工作過程可以分成以下4個(gè)步驟。①協(xié)議協(xié)商。客戶端在訪問samba服務(wù)器時(shí)，發(fā)送negprot命令數(shù)據(jù)包，告知目標(biāo)計(jì)算機(jī)其支持的SMB協(xié)議類型，samba服務(wù)器根據(jù)客戶端的情況，選擇最優(yōu)的SMB協(xié)議類型并做出響應(yīng)。一、項(xiàng)目知識(shí)準(zhǔn)備samba工作原理②建立連接。當(dāng)SMB協(xié)議類型確認(rèn)后，客戶端會(huì)發(fā)送sessionsetup命令數(shù)據(jù)包，提交賬號(hào)和密碼，請(qǐng)求與samba服務(wù)器建立連接，如果客戶端通過身份驗(yàn)證，則samba服務(wù)器會(huì)對(duì)sessionsetup報(bào)文做出響應(yīng)，并為用戶分配唯一的UID，在客戶端與其通信時(shí)使用。一、項(xiàng)目知識(shí)準(zhǔn)備samba工作原理③訪問共享資源。客戶端訪問samba共享資源時(shí)，發(fā)送treeconnect命令數(shù)據(jù)包，通知服務(wù)器需要訪問的共享資源名，如果設(shè)置允許，則samba服務(wù)器會(huì)為每個(gè)客戶端與共享資源連接分配線程ID（ThreadID），客戶端即可訪問需要的共享資源。一、項(xiàng)目知識(shí)準(zhǔn)備samba工作原理④斷開連接。共享使用完畢，客戶端向服務(wù)器發(fā)送treedisconnect報(bào)文，關(guān)閉共享，與服務(wù)器斷開連接。項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：配置與管理Samba服務(wù)器二、項(xiàng)目設(shè)計(jì)與準(zhǔn)備了解samba服務(wù)器配置的工作流程1.基本的samba服務(wù)器的搭建流程主要分為5個(gè)步驟。（1）編輯主配置文件smb.conf，指定需要共享的目錄，并為共享目錄設(shè)置共享權(quán)限。（2）在smb.conf文件中指定日志文件名稱和存放路徑。（3）設(shè)置共享目錄的本地系統(tǒng)權(quán)限。（4）重新加載配置文件或重新啟動(dòng)SMB服務(wù)，使配置生效。（5）關(guān)閉防火墻，同時(shí)設(shè)置SELinux為允許。二、項(xiàng)目設(shè)計(jì)與準(zhǔn)備了解samba服務(wù)器配置的工作流程2.samba的工作流程如圖所示。（1）客戶端請(qǐng)求訪問samba服務(wù)器上的共享目錄。（2）samba服務(wù)器接收到請(qǐng)求后，會(huì)查詢主配置文件smb.conf，看是否共享了目錄，如果共享了目錄則查看客戶端是否有權(quán)限訪問。（3）samba服務(wù)器會(huì)將本次訪問信息記錄在日志文件之中，日志文件的名稱和路徑都需要我們?cè)O(shè)置。（4）如果客戶端滿足訪問權(quán)限設(shè)置，則允許客戶端進(jìn)行訪問。二、項(xiàng)目設(shè)計(jì)與準(zhǔn)備設(shè)備準(zhǔn)備本項(xiàng)目要用到Server01、Client2和Client1，設(shè)備情況如表所示:主機(jī)名稱操作系統(tǒng)IP地址網(wǎng)絡(luò)連接方式samba共享服務(wù)器：Server01統(tǒng)信UOSV20/24VMnet1（僅主機(jī)模式）Windows客戶端：Client2Windows20160/24VMnet1（僅主機(jī)模式）統(tǒng)信客戶端：Client1統(tǒng)信UOSV200/24VMnet1（僅主機(jī)模式）項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：配置與管理Samba服務(wù)器三、項(xiàng)目實(shí)施任務(wù)5-1安裝并啟動(dòng)samba服務(wù)使用rpm-qa|grepsamba命令檢測(cè)系統(tǒng)是否安裝了samba相關(guān)性軟件包：[root@Server01~]#rpm-qa|grepsamba（1）掛載ISO安裝映像。

[root@Server01~]#mount/dev/cdrom/media（2）制作yum源文件/etc/yum.repos.d/dvd.repo（略）。（3）使用dnf命令查看samba軟件包的信息。[root@Server01~]#dnfinfosamba（4）使用yum命令安裝samba服務(wù)。[root@Server01~]#dnfcleanall //安裝前先清除緩存[root@Server01~]#dnfinstallsamba-y三、項(xiàng)目實(shí)施任務(wù)5-1安裝并啟動(dòng)samba服務(wù)（5）所有軟件包安裝完畢，可以使用rpm命令再一次進(jìn)行查詢：[root@Server01~]#rpm-qa|grepsamba（6）啟動(dòng)smb服務(wù)，設(shè)置開機(jī)啟動(dòng)該服務(wù)，重啟服務(wù)。[root@Server01~]#systemctlstartsmb;systemctlenablesmb注意：在服務(wù)器配置中，更改了配置文件后，一定要記得重啟服務(wù)，讓服務(wù)重新加載配置文件，這樣新配置才生效。重啟的命令是：systemctlrestartsmb或systemctlreloadsmb三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf1．samba服務(wù)程序中的參數(shù)以及作用samba的配置文件一般就放在/etc/samba目錄中，主配置文件名為smb.conf。統(tǒng)信UOSV20的smb.conf配置文件已經(jīng)簡(jiǎn)化，只有37行左右。為了方便配置，建議先備份smb.conf，一旦發(fā)現(xiàn)錯(cuò)誤可以隨時(shí)從備份文件中恢復(fù)主配置文件。操作如下:[root@Server01~]#cd/etc/samba[root@Server01samba]#ls[root@Server01samba]#cpsmb.confsmb.conf.bak[root@Server01samba]#cd三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf2．ShareDefinitions共享服務(wù)的定義ShareDefinitions設(shè)置對(duì)象為共享目錄和打印機(jī)，如果想發(fā)布共享資源，需要對(duì)ShareDefinitions部分進(jìn)行配置。（1）設(shè)置共享名。共享名的設(shè)置非常簡(jiǎn)單，格式為：[共享名]（2）共享資源描述。格式：comment=備注信息（3）共享路徑。格式：path=絕對(duì)地址路徑三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf（4）設(shè)置匿名訪問。設(shè)置是否允許對(duì)共享資源進(jìn)行匿名訪問，可以更改public字段。格式：public=yes#允許匿名訪問public=no#禁止匿名訪問三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf【例10-1】samba服務(wù)器中有個(gè)目錄為/share，需要發(fā)布該目錄成為共享目錄，定義共享名為public，要求：允許瀏覽、允許只讀、允許匿名訪問。設(shè)置如下所示。[public] comment=public path=/share browseable=yes readonly=yes public=yes三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf（5）設(shè)置訪問用戶。如果共享資源存在重要數(shù)據(jù)的話，需要對(duì)訪問用戶進(jìn)行審核，我們可以使用validusers字段進(jìn)行設(shè)置。格式：validusers=用戶名validusers=@組名【例10-2】samba服務(wù)器/share/tech目錄中存放了公司技術(shù)部數(shù)據(jù)，只允許技術(shù)部員工和經(jīng)理訪問，技術(shù)部組為tech，經(jīng)理賬號(hào)為manager。[tech]comment=techpath=/share/techvalidusers=@tech,manager三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf（6）設(shè)置目錄只讀。共享目錄如果需要限制用戶的讀寫操作，我們可以通過readonly實(shí)現(xiàn)。格式：readonly=yes#只讀readonly=no#讀寫（7）設(shè)置過濾主機(jī)。hostsallow=192.168.10.上述程序表示允許來自或的訪問者訪問samba服務(wù)器資源。hostsdeny=192.168.2.上述程序表示不允許來自網(wǎng)絡(luò)的主機(jī)訪問當(dāng)前samba服務(wù)器資源。三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf【例10-3】samba服務(wù)器公共目錄/public存放大量共享數(shù)據(jù)，為保證目錄安全，僅允許網(wǎng)絡(luò)的主機(jī)訪問，并且只允許讀取，禁止寫入。[public]comment=publicpath=/publicpublic=yesreadonly=yeshostsallow=192.168.10.三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf（8）設(shè)置目錄可寫。如果共享目錄允許用戶寫操作，可以使用writable或writelist兩個(gè)字段進(jìn)行設(shè)置。writable格式：writable=yes#讀寫writable=no#只讀writelist格式：writelist=用戶名writelist=@組名三、項(xiàng)目實(shí)施任務(wù)5-3samba服務(wù)的日志文件和密碼文件日志文件對(duì)于samba非常重要，它存儲(chǔ)著客戶端訪問samba服務(wù)器的信息，以及samba服務(wù)的錯(cuò)誤提示信息等，可以通過分析日志，幫助解決客戶端訪問和服務(wù)器維護(hù)等問題。在/etc/samba/smb.conf文件中，logfile為設(shè)置samba日志的字段。如下所示：logfile=/var/log/samba/log.%msamba服務(wù)的日志文件默認(rèn)存放在/var/log/samba/中，其中samba會(huì)為每個(gè)連接到samba服務(wù)器的計(jì)算機(jī)分別建立日志文件。使用ls-a/var/log/samba命令可以查看日志的所有文件。三、項(xiàng)目實(shí)施任務(wù)5-3samba服務(wù)的日志文件和密碼文件2．samba服務(wù)密碼文件samba服務(wù)器發(fā)布共享資源后，客戶端訪問samba服務(wù)器，需要提交用戶名和密碼進(jìn)行身份驗(yàn)證，驗(yàn)證合格后才可以登錄。samba服務(wù)為了實(shí)現(xiàn)客戶身份驗(yàn)證功能，將用戶名和密碼信息存放在/etc/samba/smbpasswd中，在客戶端訪問時(shí)，將用戶提交的資料與smbpasswd中存放的信息進(jìn)行比對(duì)，如果相同，并且samba服務(wù)器其他安全設(shè)置允許，客戶端與samba服務(wù)器的連接才能建立成功。三、項(xiàng)目實(shí)施任務(wù)5-3samba服務(wù)的日志文件和密碼文件那如何建立samba賬號(hào)呢？首先，samba賬號(hào)并不能直接建立，需要先建立Linux同名的系統(tǒng)賬號(hào)。例如，如果要建立一個(gè)名為yy的samba賬號(hào)，那么Linux系統(tǒng)中必須提前存在一個(gè)同名的yy系統(tǒng)賬號(hào)。samba中添加賬號(hào)的命令為smbpasswd，格式為：smbpasswd-a用戶名三、項(xiàng)目實(shí)施任務(wù)5-3samba服務(wù)的日志文件和密碼文件【例10-4】在samba服務(wù)器中添加samba賬號(hào)reading。（1）建立Linux系統(tǒng)賬號(hào)reading。[root@Server01~]#useraddreading[root@Server01~]#passwdreading（2）添加reading用戶的samba賬號(hào)。[root@Server01~]#smbpasswd-areading三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析在統(tǒng)信UOSV20系統(tǒng)中，samba服務(wù)程序默認(rèn)使用的是用戶口令認(rèn)證模式（user）。這種認(rèn)證模式可以確保僅讓有密碼且受信任的用戶訪問共享資源，而且驗(yàn)證過程也十分簡(jiǎn)單?！纠?0-5】如果公司有多個(gè)部門，因工作需要，就必須分門別類地建立相應(yīng)部門的目錄。要求將銷售部的資料存放在samba服務(wù)器的/companydata/sales/目錄下集中管理，以便銷售人員瀏覽，并且該目錄只允許銷售部員工訪問。需求分析：在/companydata/sales/目錄中存放有銷售部的重要數(shù)據(jù)，為了保證其他部門無法查看其內(nèi)容，我們需要將全局配置中security設(shè)置為user安全級(jí)別。這樣就啟用了samba服務(wù)器的身份驗(yàn)證機(jī)制。然后在共享目錄/companydata/sales下設(shè)置validusers字段，配置只允許銷售部員工訪問這個(gè)共享目錄。三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（1）建立共享目錄，并在其下建立測(cè)試文件。[root@Server01~]#mkdir/companydata[root@Server01~]#mkdir/companydata/sales[root@Server01~]#touch/companydata/sales/test_share.tar三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（2）添加銷售部用戶和組并添加相應(yīng)的samba賬號(hào)。①使用groupadd命令添加sales組，然后執(zhí)行useradd命令和passwd命令，以添加銷售部員工的賬號(hào)及密碼。此處單獨(dú)增加一個(gè)test_user1賬號(hào)，不屬于sales組，供測(cè)試用。[root@Server01~]#groupaddsales #建立銷售組sales[root@Server01~]#useradd-gsalessale1 #建立用戶sale1，添加到sales組[root@Server01~]#useradd-gsalessale2 #建立用戶sale2，添加到sales組[root@Server01~]#useraddtest_user1 #供測(cè)試用[root@Server01~]#passwdsale1 #設(shè)置用戶sale1密碼[root@Server01~]#passwdsale2 #設(shè)置用戶sale2密碼[root@Server01~]#passwdtest_user1 #設(shè)置用戶test_user1密碼三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析②為銷售部成員添加相應(yīng)samba賬號(hào)。[root@Server01~]#smbpasswd-asale1[root@Server01~]#smbpasswd-asale2三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（3）修改samba主配置文件：vim/etc/samba/smb.conf。直接在原文件未尾添加，但要注意將原文件的[global]刪除或用“#”注釋掉，文件中不能有兩個(gè)同名的[global]。當(dāng)然也可直接在原來的[global]上進(jìn)行修改。

39[global]40workgroup=Workgroup41serverstring=FileServer42security=user43#設(shè)置user安全級(jí)別模式，取默認(rèn)值

44passdbbackend=tdbsam45printing=cups46printcapname=cups47loadprinters=yes48cupsoptions=raw

49[sales]50#設(shè)置共享目錄的共享名為sales51comment=sales52path=/companydata/sales53#設(shè)置共享目錄的絕對(duì)路徑

54writable=yes55browseable=yes56validusers=@sales57#設(shè)置可以訪問的用戶為sales組三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（4）設(shè)置共享目錄的本地系統(tǒng)權(quán)限和屬組。[root@Server01~]#chmod770/companydata/sales-R[root@Server01~]#chown:sales/companydata/sales-R-R參數(shù)是遞歸用的，一定要加上。三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（5）更改共享目錄和用戶家目錄的context值，或者禁掉SELinux。[root@Server01~]#chcon-tsamba_share_t/companydata/sales-R[root@Server01~]#chcon-tsamba_share_t/home/sale1-R[root@Server01~]#chcon-tsamba_share_t/home/sale2-R或者：[root@Server01~]#getenforceEnforcing[root@Server01~]#setenforcePermissive或者：[root@Server01~]#setenforce0三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（6）讓防火墻放行，這一步很重要。[root@Server01~]#firewall-cmd--permanent--add-service=samba[root@Server01~]#firewall-cmd--reload //重新加載防火墻[root@Server01~]#firewall-cmd--list-allpublic(active)………………services:sshdhcpv6-clientsamba //已經(jīng)加入防火墻的允許服務(wù)

ports:………………三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（7）重新加載samba服務(wù)并設(shè)置開機(jī)時(shí)自動(dòng)啟動(dòng)。

[root@Server01~]#systemctlrestartsmb[root@Server01~]#systemctlenablesmb（8）測(cè)試。一是在WindowsServer2016中利用資源管理器進(jìn)行測(cè)試，二是利用統(tǒng)信UOSV20客戶端。三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析以下的操作在Client2上進(jìn)行。（1）使用映射網(wǎng)絡(luò)驅(qū)動(dòng)器訪問samba服務(wù)器共享目錄在WindowsServer2016的桌面上右鍵“此電腦”圖標(biāo)，選擇“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”，在圖所示中，選擇x驅(qū)動(dòng)器，并輸入sales共享目錄的地址，如\\\sales，單擊“完成”按鈕。三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析以下的操作在Client2上進(jìn)行。（1）使用映射網(wǎng)絡(luò)驅(qū)動(dòng)器訪問samba服務(wù)器共享目錄彈出“輸入網(wǎng)絡(luò)憑據(jù)”的窗口，在對(duì)話框中輸入可以訪問sales共享目錄的samba賬號(hào)和密碼。如圖所示。三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析以下的操作在Client2上進(jìn)行。（1）使用映射網(wǎng)絡(luò)驅(qū)動(dòng)器訪問samba服務(wù)器共享目錄單擊“確定”按鈕，顯示了共享的文件，說明設(shè)置成功。如圖所示。三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析以下的操作在Client2上進(jìn)行。（1）使用映射網(wǎng)絡(luò)驅(qū)動(dòng)器訪問samba服務(wù)器共享目錄再次雙擊“此電腦”圖標(biāo)，打開“此電腦”窗口，可以看到，網(wǎng)絡(luò)驅(qū)動(dòng)器共享目錄sales，說明成功設(shè)置網(wǎng)絡(luò)驅(qū)動(dòng)器，如圖所示。三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析2.統(tǒng)信UOSV20客戶端訪問samba共享按照教材表10-1來設(shè)置samba服務(wù)程序所在主機(jī)（samba共享服務(wù)器）和統(tǒng)信UOSV20客戶端Client1使用的IP地址，然后在客戶端Client1上安裝samba服務(wù)和支持文件共享服務(wù)的軟件包（cifs-utils）。（1）在Client1上安裝samba-client和cifs-utils。[root@Client1~]#mount/dev/cdrom/media[root@Client1~]#vim/etc/yum.repos.d/dvd.repo[root@Client1~]#dnfinstallsamba-clientcifs-utils-y三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（2）統(tǒng)信UOSV20客戶端使用smbclient命令訪問服務(wù)器。①使用smbclient可以列出目標(biāo)主機(jī)共享目錄列表。smbclient命令的格式為：smbclient-L目標(biāo)IP地址或主機(jī)名-U登錄用戶名%密碼[root@Client1~]#smbclient-L//匿名登錄[root@Client1~]#smbclient-L-Usale2%sonniya22,,三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（2）統(tǒng)信UOSV20客戶端使用smbclient命令訪問服務(wù)器。②可以使用smbclient命令行共享訪問模式瀏覽共享的資料。smbclient命令行共享訪問模式命令格式為：smbclient//目標(biāo)IP地址或主機(jī)名/共享目錄-U用戶名%密碼[root@client1~]#smbclient///sales-Usale2%sonniya22,,三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（3）統(tǒng)信UOSV20客戶端使用mount命令掛載共享目錄。mount命令掛載共享目錄的格式為：mount-tcifs//目標(biāo)IP地址或主機(jī)名/共享目錄名稱掛載點(diǎn)-ousername=用戶名掛載主機(jī)上的共享目錄sales到/mnt/sambadata目錄下，cifs是samba服務(wù)器使用的文件系統(tǒng)。[root@Client1~]#mkdir-p/smb/sambadata[root@Client1~]#mount-tcifs///sales/smb/sambadata/-ousername=sale1Passwordforsale1@///sales:********//輸入sale1的samba用戶密碼，不是系統(tǒng)用戶密碼[root@Client1~]#cd/smb/sambadata[root@Client1sambadata]#ls三、項(xiàng)目實(shí)施任務(wù)5-5配置可匿名訪問的samba服務(wù)器【例10-6】公司需要添加samba服務(wù)器作為文件服務(wù)器，工作組名為Workgroup，共享目錄為/share，共享名為public，這個(gè)共享目錄允許公司所有員工下載文件，但不允許上傳文件。step1：在Server01上建立share目錄，并在其下建立測(cè)試文件，設(shè)置共享文件夾本地系統(tǒng)權(quán)限。[root@Server01～]#mkdir/share;touch/share/test_share.tar[root@Server01～]#chmod645/share-R三、項(xiàng)目實(shí)施任務(wù)5-5配置可匿名訪問的samba服務(wù)器step2：修改samba主配置文件smb.conf。

[root@Server01～]#vim/etc/samba/smb.conf在任務(wù)5-4的基礎(chǔ)上修改配置文件，與任務(wù)5-4配置文件內(nèi)容一樣的不再顯示出來。

39 [global] …………44 maptoguest=baduser …………50 [public]51 comment=public52 path=/share53 guestok=yes54 #允許匿名用戶訪問

55 browseable=yes56 #在客戶端顯示共享的目錄

57 public=yes58 #最后設(shè)置允許匿名訪問

59 readonly=yes三、項(xiàng)目實(shí)施任務(wù)5-5配置可匿名訪問的samba服務(wù)器step3：讓防火墻放行samba服務(wù)。在任務(wù)5-4中已詳細(xì)設(shè)置，這里不再贅述。。step4：更改共享目錄的context值。[root@Server01～]#chcon-tsamba_share_t/sharestep5：重新加載配置?？梢允褂胷estart重新啟動(dòng)服務(wù)或者使用reload重新加載配置。[root@Server01～]#systemctlrestartsmb//或者[root@Server01～]#systemctlreloadsmb三、項(xiàng)目實(shí)施任務(wù)5-5配置可匿名訪問的samba服務(wù)器在Windows客戶端可以用UNC路徑測(cè)試，方法是在WindowsServer2016（Client2）資源管理器地址欄中輸入\\。如圖所示。三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置1．用戶賬號(hào)映射samba的用戶賬號(hào)信息保存在smbpasswd文件中，而且可以訪問samba服務(wù)器的賬號(hào)也必須對(duì)應(yīng)一個(gè)同名的系統(tǒng)賬號(hào)。使用用戶賬號(hào)映射需要建立一個(gè)賬號(hào)映射關(guān)系表，里面記錄了samba賬號(hào)和虛擬賬號(hào)的對(duì)應(yīng)關(guān)系，客戶端訪問samba服務(wù)器時(shí)就使用虛擬賬號(hào)來登錄。三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置【例10-7】將例10-5的sale1賬號(hào)分別映射為suser1和myuser1，將sale2賬號(hào)映射為suser2。（僅對(duì)與例10-5中不同的地方進(jìn)行設(shè)置，相同的設(shè)置不再贅述，如權(quán)限、防火墻等。）①編輯主配置文件/etc/samba/smb.conf。在[global]下添加一行字段usernamemap=/etc/samba/smbusers，開啟用戶賬號(hào)映射功能。三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置②編輯/etc/samba/smbusers。smbusers文件保存賬號(hào)映射關(guān)系，其固定格式如下。samba賬號(hào)=虛擬賬號(hào)（映射賬號(hào)）本例應(yīng)加入下面的行。sale1=suser1myuser1sale2=suser2三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置③重啟samba服務(wù)。[root@Server01～]#systemctlrestartsmb④驗(yàn)證效果。先注銷Windowsserver2016，然后在Windowsserver2016客戶端的資源管理器地址欄中輸入\\三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置2．客戶端訪問控制對(duì)于samba服務(wù)器的安全性，可以使用validusers字段實(shí)現(xiàn)用戶訪問控制，但是如果企業(yè)龐大且存在大量用戶，這種方法操作起來就比較麻煩。使用hostsallow和hostsdeny兩個(gè)字段可以實(shí)現(xiàn)該功能。（1）hostsallow和hostsdeny字段的使用方法。hostsallow字段定義允許訪問的客戶端hostsdeny字段定義禁止訪問的客戶端三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置（2）使用IP地址進(jìn)行限制。【例10-8】仍以例10-5為例，公司內(nèi)部samba服務(wù)器上的共享目錄/companydata/sales用于存放銷售部的資料，公司規(guī)定/24這個(gè)網(wǎng)段的IP地址禁止訪問此sales共享目錄，但是0這個(gè)IP地址可以訪問。三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置①修改配置文件smb.conf。在配置文件smb.conf中添加hostsdeny和hostsallow字段。[sales]comment=salespath=/companydata/sales#設(shè)置共享目錄的絕對(duì)路徑

hostsdeny=192.168.10.#禁止所有來自/24網(wǎng)段的IP地址訪問

hostsallow=0#允許0這個(gè)IP地址訪問三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置②重新加載配置。[root@Server01~]#systemctlrestartsmb③測(cè)試，請(qǐng)讀者測(cè)試效果在Windowsserver2016上測(cè)試時(shí)，由于其IP地址為0，所以正常訪問。三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置（3）使用域名進(jìn)行限制。【例10-9】公司samba服務(wù)器上共享了一個(gè)目錄public，公司規(guī)定.域的客戶端不能訪問，并且主機(jī)名為client1的客戶端也不能訪問。修改配置文件smb.conf的相關(guān)內(nèi)容即可。[public]comment=public'ssharepath=/publichostsdeny=.client1三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置（4）使用通配符進(jìn)行訪問控制?！纠?0-10】samba服務(wù)器共享了一個(gè)目錄security，規(guī)定除主機(jī)boss外的其他賬號(hào)不允許訪問。修改smb.conf配置文件，使用通配符“ALL”來簡(jiǎn)化配置。[security]comment=securitypath=/securitywritable=yeshostsdeny=ALLhostsallow=boss三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置（5）hostsallow和hostsdeny的作用范圍。hostsallow和hostsdeny設(shè)置在不同的位置上，它們的作用范圍就不一樣。設(shè)置在[global]中，表示對(duì)samba服務(wù)器全局生效；設(shè)置在目錄下，則表示只對(duì)這個(gè)目錄生效。[global]hostsdeny=ALLhostsallow=6#只有6才可以訪問samba服務(wù)器三、項(xiàng)目實(shí)施任務(wù)5-7samba的打印共享在默認(rèn)情況下，samba的打印服務(wù)是開放的，只要把打印機(jī)安裝好，客戶端就可以使用打印機(jī)了。1．設(shè)置global配置項(xiàng)修改smb.conf全局配置，開啟打印共享功能。[global]loadprinters=yescupsoptions=rawprintcapname=/etc/printcapprinting=cups三、項(xiàng)目實(shí)施任務(wù)5-7samba的打印共享2．設(shè)置printers配置項(xiàng)[printers]comment=Allprinterspath=/usr/spool/sambabrowseable=noguestok=nowritable=yesprintable=yes使用默認(rèn)設(shè)置就可以讓客戶端正常使用打印機(jī)了，需要注意的是，printable一定要設(shè)置成yes。三、項(xiàng)目實(shí)施企業(yè)samba服務(wù)器實(shí)用案例1．samba服務(wù)器目錄公共目錄/share、銷售部/sales、技術(shù)部/tech。2．企業(yè)員工情況主管：總經(jīng)理master。銷售部：銷售部經(jīng)理mike，員工sky，員工jane。技術(shù)部：技術(shù)部經(jīng)理tom，員工sunny，員工bill。企業(yè)使用samba搭建文件服務(wù)器，需要建立公共共享目錄，允許所有人訪問，權(quán)限為只讀。為銷售部和技術(shù)部分別建立單獨(dú)的目錄，只允許總經(jīng)理和對(duì)應(yīng)部門員工訪問，并且企業(yè)員工無法在網(wǎng)絡(luò)鄰居查看到非本部門的共享目錄。三、項(xiàng)目實(shí)施企業(yè)samba服務(wù)器實(shí)用案例（1）在Server01上建立各部門專用目錄。[root@Server01～]#mkdir/share;mkdir/sales;mkdir/tech三、項(xiàng)目實(shí)施企業(yè)samba服務(wù)器實(shí)用案例（2）添加用戶和組。先建立銷售組sales和技術(shù)組tech，然后使用useradd命令添加總經(jīng)理賬號(hào)master，并將員工賬號(hào)加入不同的用戶組。[root@Server01～]#groupaddsales;groupaddtech[root@Server01～]#useraddmaster[root@Server01～]#useradd-gsalesmike[root@Server01～]#useradd-gsalessky[root@Server01～]#useradd-gsalesjane[root@Server01～]#useradd-gtechtom[root@Server01～]#useradd-gtechsunny[root@Server01～]#useradd-gtechbill[root@Server01～]#passwdmaster……三、項(xiàng)目實(shí)施企業(yè)samba服務(wù)器實(shí)用案例（3）添加相應(yīng)samba賬號(hào)。使用smbpasswd-a命令添加samba用戶，具體操作參照前文相關(guān)內(nèi)容。（4）設(shè)置共享目錄的本地系統(tǒng)權(quán)限。[root@Server01～]#chmod777/share[root@Server01～]#chmod777/sales[root@Server01～]#chmod777/tech三、項(xiàng)目實(shí)施企業(yè)samba服務(wù)器實(shí)用案例（5）更改共享目錄的context值（防火墻問題）。[root@Server01～]#chcon-tsamba_share_t/share[root@Server01～]#chcon-tsamba_share_t/sales[root@Server01～]#chcon-tsamba_share_t/tech（6）建立獨(dú)立配置文件。[root@Server01