網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 Linux（麒麟歐拉）（微課版）（第5版） 課件 項(xiàng)目5、6 配置與管理samba服務(wù)器、配置與管理NFS服務(wù)器

項(xiàng)目5

配置與管理samba服務(wù)器《網(wǎng)絡(luò)服務(wù)器搭建、配置與管理Linux（麒麟/歐拉）》“十四五”職業(yè)教育國家規(guī)劃教材能力要求CAPACITY掌握samba的工作原理。0103掌握主配置文件samba.conf的配置方法。02掌握samba文件和打印共享的設(shè)置方法。04掌握samba服務(wù)密碼文件的配置方法。思政導(dǎo)入IDEOLOGY了解“計(jì)算機(jī)界的諾貝爾獎(jiǎng)”——圖靈獎(jiǎng)，了解華人科學(xué)家姚期智，激發(fā)學(xué)生的求知欲，從而喚醒學(xué)生“沉睡”的潛能。思政目標(biāo)IDEOLOGY“觀眾器者為良匠，觀眾病者為良醫(yī)?！薄盀閷W(xué)日益，為道日損。”青年學(xué)生要多動(dòng)手、多動(dòng)腦，只有多實(shí)踐、多積累，才能提高技藝，才能成為優(yōu)秀的“工匠”。思政內(nèi)容IDEOLOGY圖靈獎(jiǎng)（TuringAward）全稱A.M.圖靈獎(jiǎng)（A.MTuringAward），是由美國計(jì)算機(jī)協(xié)會(huì)（AssociationforComputingMachinery，ACM）于1966年設(shè)立的計(jì)算機(jī)獎(jiǎng)項(xiàng)，名稱取自艾倫·麥席森西森·圖靈（AlanMathisonTuring），旨在獎(jiǎng)勵(lì)對(duì)計(jì)算機(jī)事業(yè)做出重要貢獻(xiàn)的個(gè)人。圖靈獎(jiǎng)對(duì)獲獎(jiǎng)條件要求極高，評(píng)獎(jiǎng)程序極嚴(yán)，一般每年僅授予一名計(jì)算機(jī)科學(xué)家。圖靈獎(jiǎng)是計(jì)算機(jī)領(lǐng)域的國際最高獎(jiǎng)項(xiàng)，被譽(yù)為“計(jì)算機(jī)界的諾貝爾獎(jiǎng)”。2000年，科學(xué)家姚期智獲圖靈獎(jiǎng)。項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：配置與管理samba服務(wù)器內(nèi)容導(dǎo)航CONTENTS一、項(xiàng)目知識(shí)準(zhǔn)備了解samba應(yīng)用環(huán)境文件和打印機(jī)共享：文件和打印機(jī)共享是samba的主要功能，通過SMB進(jìn)程實(shí)現(xiàn)資源共享，將文件和打印機(jī)發(fā)布到網(wǎng)絡(luò)之中，以供用戶訪問。身份驗(yàn)證和權(quán)限設(shè)置：smbd服務(wù)支持usermode和domainmode等身份驗(yàn)證和權(quán)限設(shè)置模式，通過加密方式可以保護(hù)共享的文件和打印機(jī)。名稱解析：samba通過nmbd服務(wù)可以搭建NBNS（NetBIOSNameService）服務(wù)器，提供名稱解析，將計(jì)算機(jī)的NetBIOS名解析為IP地址。瀏覽服務(wù)：局域網(wǎng)中，samba服務(wù)器可以成為本地主瀏覽服務(wù)器（LMB），保存可用資源列表，當(dāng)使用客戶端訪問Windows網(wǎng)上鄰居時(shí)，會(huì)提供瀏覽列表，顯示共享目錄、打印機(jī)等資源。一、項(xiàng)目知識(shí)準(zhǔn)備了解SMB協(xié)議SMB（ServerMessageBlock）通信協(xié)議可以看作是局域網(wǎng)上共享文件和打印機(jī)的一種協(xié)議。samba則是將SMB協(xié)議搬到UNIX系統(tǒng)上來使用，通過“NetBIOSoverTCP/IP”，使用samba不但能與局域網(wǎng)絡(luò)主機(jī)共享資源，而且能與全世界的計(jì)算機(jī)共享資源。一、項(xiàng)目知識(shí)準(zhǔn)備samba的工作原理samba服務(wù)功能強(qiáng)大，這與其通信基于SMB協(xié)議有關(guān)。SMB協(xié)議不僅具有文件和打印機(jī)共享功能，還支持身份驗(yàn)證和權(quán)限設(shè)置。在早期，SMB協(xié)議運(yùn)行于NBT協(xié)議（NetBIOSoverTCP/IP）上，使用UDP的137、138端口及TCP的139端口，后期SMB協(xié)議經(jīng)過開發(fā)，可以直接運(yùn)行于TCP/IP上，沒有額外的NBT層，使用TCP的445端口。（1） samba的工作流程當(dāng)客戶端訪問服務(wù)器時(shí)，信息通過SMB協(xié)議進(jìn)行傳輸，其工作過程可以分成以下4個(gè)步驟。①協(xié)議協(xié)商?？蛻舳嗽谠L問samba服務(wù)器時(shí)，發(fā)送negprot命令數(shù)據(jù)包，告知目標(biāo)計(jì)算機(jī)其支持的SMB協(xié)議類型，samba服務(wù)器根據(jù)客戶端的情況，選擇最優(yōu)的SMB協(xié)議類型并做出響應(yīng)，如圖5-1所示。一、項(xiàng)目知識(shí)準(zhǔn)備samba的工作原理②建立連接。當(dāng)SMB協(xié)議類型確認(rèn)后，客戶端會(huì)發(fā)送sessionsetup命令數(shù)據(jù)包，提交賬號(hào)和密碼，請(qǐng)求與samba服務(wù)器建立連接。如果客戶端通過身份驗(yàn)證，則samba服務(wù)器會(huì)對(duì)sessionsetup報(bào)文做出響應(yīng)，并為用戶分配唯一的UID，在客戶端與其通信時(shí)使用，如圖所示。一、項(xiàng)目知識(shí)準(zhǔn)備samba的工作原理③訪問共享資源?？蛻舳嗽L問samba服務(wù)器的共享資源時(shí)，發(fā)送treeconnect命令數(shù)據(jù)包，通知samba服務(wù)器需要訪問的共享資源名。如果設(shè)置允許，則samba服務(wù)器會(huì)為每個(gè)客戶端與共享資源連接分配線程ID（ThreadID），客戶端即可訪問需要的共享資源，如圖所示。④斷開連接。共享功能使用完畢，客戶端向samba服務(wù)器發(fā)送treedisconnect報(bào)文，關(guān)閉共享功能，與samba服務(wù)器斷開連接，如圖所示。一、項(xiàng)目知識(shí)準(zhǔn)備samba的工作原理（2） samba的相關(guān)進(jìn)程samba服務(wù)由兩個(gè)進(jìn)程組成，分別是nmbd和smbd。①nmbd：其功能是解析NetBIOS，提供瀏覽服務(wù)并顯示網(wǎng)絡(luò)上的共享資源列表。②smbd：其主要功能是管理samba服務(wù)器上的共享目錄、打印機(jī)等，主要是對(duì)網(wǎng)絡(luò)上的共享資源進(jìn)行管理。當(dāng)要訪問服務(wù)器，要查找共享文件時(shí)，就要依靠smbd這個(gè)進(jìn)程來管理數(shù)據(jù)傳輸。項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：配置與管理samba服務(wù)器內(nèi)容導(dǎo)航CONTENTS二、項(xiàng)目設(shè)計(jì)與準(zhǔn)備（1）samba的工作流程samba的工作流程如圖所示。（1）客戶端請(qǐng)求訪問samba服務(wù)器上的共享目錄。（2）samba服務(wù)器接收到請(qǐng)求后，會(huì)查詢主配置文件smb.conf，看是否共享了目錄，如果共享了目錄則查看客戶端是否有權(quán)限訪問。（3）samba服務(wù)器會(huì)將本次訪問信息記錄在日志文件之中，日志文件的名稱和路徑都需要我們?cè)O(shè)置。（4）如果客戶端滿足訪問權(quán)限設(shè)置，則允許客戶端進(jìn)行訪問。二、項(xiàng)目設(shè)計(jì)與準(zhǔn)備了解samba服務(wù)器配置的工作流程1.基本的samba服務(wù)器的搭建流程主要分為5個(gè)步驟。（1）編輯主配置文件smb.conf，指定需要共享的目錄，并為共享目錄設(shè)置共享權(quán)限。（2）在smb.conf文件中指定日志文件名稱和存放路徑。（3）設(shè)置共享目錄的本地系統(tǒng)權(quán)限。（4）重新加載配置文件或重新啟動(dòng)SMB服務(wù)，使配置生效。（5）關(guān)閉防火墻，同時(shí)設(shè)置SELinux為允許。二、項(xiàng)目設(shè)計(jì)與準(zhǔn)備設(shè)備準(zhǔn)備本項(xiàng)目要用到Server01、Client3和Client1，設(shè)備情況如表所示:主

機(jī)

名操作系統(tǒng)IP地址網(wǎng)絡(luò)連接方式samba共享服務(wù)器：Server01Kylin

V10/24VMnet8（NAT

模式）Windows客戶端：Client3Kylin

V100/24VMnet8（NAT

模式）Linux客戶端：Client1Windows

101/24VMnet8（NAT

模式）項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：配置與管理samba服務(wù)器內(nèi)容導(dǎo)航CONTENTS三、項(xiàng)目實(shí)施任務(wù)5-1安裝并啟動(dòng)samba服務(wù)使用rpm-qa|grepsamba命令檢測(cè)系統(tǒng)是否安裝了samba相關(guān)性軟件包：[root@Server01~]#rpm-qa|grepsamba（1）掛載ISO安裝映像。

[root@Server01~]#mount/dev/cdrom/media（2）制作yum源文件/etc/yum.repos.d/dvd.repo（略）。（3）使用dnf命令查看samba軟件包的信息。[root@Server01~]#dnfinfosamba（4）使用yum命令安裝samba服務(wù)。[root@Server01~]#dnfcleanall //安裝前先清除緩存[root@Server01~]#dnfinstallsamba-y三、項(xiàng)目實(shí)施任務(wù)5-1安裝并啟動(dòng)samba服務(wù)（5）所有軟件包安裝完畢，可以使用rpm命令再一次進(jìn)行查詢：[root@Server01~]#rpm-qa|grepsamba（6）啟動(dòng)smb服務(wù)，設(shè)置開機(jī)啟動(dòng)該服務(wù)，重啟服務(wù)。[root@Server01~]#systemctlstartsmb;systemctlenablesmb注意：在服務(wù)器配置中，更改了配置文件后，一定要記得重啟服務(wù)，讓服務(wù)重新加載配置文件，這樣新配置才生效。重啟的命令是：systemctlrestartsmb或systemctlreloadsmb三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf1．samba服務(wù)程序中的參數(shù)以及作用samba的配置文件一般就放在/etc/samba目錄中，主配置文件名為smb.conf。KylinV10的smb.conf配置文件已經(jīng)簡(jiǎn)化，只有37行左右。為了方便配置，建議先備份smb.conf，一旦發(fā)現(xiàn)錯(cuò)誤可以隨時(shí)從備份文件中恢復(fù)主配置文件。操作如下:[root@Server01~]#cd/etc/samba[root@Server01samba]#ls[root@Server01samba]#cpsmb.confsmb.conf.bak[root@Server01samba]#cd三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf2．ShareDefinitions共享服務(wù)的定義ShareDefinitions設(shè)置對(duì)象為共享目錄和打印機(jī)，如果想發(fā)布共享資源，需要對(duì)ShareDefinitions部分進(jìn)行配置。（1）設(shè)置共享名。共享名的設(shè)置非常簡(jiǎn)單，格式為：[共享名]（2）共享資源描述。格式：comment=備注信息（3）共享路徑。格式：path=絕對(duì)地址路徑三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf（4）設(shè)置匿名訪問。設(shè)置是否允許對(duì)共享資源進(jìn)行匿名訪問，可以更改public字段。格式：public=yes#允許匿名訪問public=no#禁止匿名訪問三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf【例5-1】samba服務(wù)器中有個(gè)目錄為/share，需要發(fā)布該目錄成為共享目錄，定義共享名為public，要求：允許瀏覽、允許只讀、允許匿名訪問。設(shè)置如下所示。[public] comment=public path=/share browseable=yes readonly=yes public=yes三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf（5）設(shè)置訪問用戶。如果共享資源存在重要數(shù)據(jù)的話，需要對(duì)訪問用戶進(jìn)行審核，我們可以使用validusers字段進(jìn)行設(shè)置。格式：validusers=用戶名validusers=@組名【例5-2】samba服務(wù)器/share/tech目錄中存放了公司技術(shù)部數(shù)據(jù)，只允許技術(shù)部員工和經(jīng)理訪問，技術(shù)部組為tech，經(jīng)理賬號(hào)為manager。[tech]comment=techpath=/share/techvalidusers=@tech,manager三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf（6）設(shè)置目錄只讀。共享目錄如果需要限制用戶的讀寫操作，我們可以通過readonly實(shí)現(xiàn)。格式：readonly=yes#只讀readonly=no#讀寫（7）設(shè)置過濾主機(jī)。hostsallow=192.168.10.上述程序表示允許來自或的訪問者訪問samba服務(wù)器資源。hostsdeny=192.168.2.上述程序表示不允許來自網(wǎng)絡(luò)的主機(jī)訪問當(dāng)前samba服務(wù)器資源。三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf【例5-3】samba服務(wù)器公共目錄/public存放大量共享數(shù)據(jù)，為保證目錄安全，僅允許網(wǎng)絡(luò)的主機(jī)訪問，并且只允許讀取，禁止寫入。[public]comment=publicpath=/publicpublic=yesreadonly=yeshostsallow=192.168.10.三、項(xiàng)目實(shí)施任務(wù)5-2主要配置文件smb.conf（8）設(shè)置目錄可寫。如果共享目錄允許用戶寫操作，可以使用writable或writelist兩個(gè)字段進(jìn)行設(shè)置。writable格式：writable=yes#讀寫writable=no#只讀writelist格式：writelist=用戶名writelist=@組名三、項(xiàng)目實(shí)施任務(wù)5-3samba服務(wù)的日志文件和密碼文件日志文件對(duì)于samba非常重要，它存儲(chǔ)著客戶端訪問samba服務(wù)器的信息，以及samba服務(wù)的錯(cuò)誤提示信息等，可以通過分析日志，幫助解決客戶端訪問和服務(wù)器維護(hù)等問題。在/etc/samba/smb.conf文件中，logfile為設(shè)置samba日志的字段。如下所示：logfile=/var/log/samba/log.%msamba服務(wù)的日志文件默認(rèn)存放在/var/log/samba/中，其中samba會(huì)為每個(gè)連接到samba服務(wù)器的計(jì)算機(jī)分別建立日志文件。使用ls-a/var/log/samba命令可以查看日志的所有文件。三、項(xiàng)目實(shí)施任務(wù)5-3samba服務(wù)的日志文件和密碼文件2．samba服務(wù)密碼文件samba服務(wù)器發(fā)布共享資源后，客戶端訪問samba服務(wù)器，需要提交用戶名和密碼進(jìn)行身份驗(yàn)證，驗(yàn)證合格后才可以登錄。samba服務(wù)為了實(shí)現(xiàn)客戶身份驗(yàn)證功能，將用戶名和密碼信息存放在/etc/samba/smbpasswd中，在客戶端訪問時(shí)，將用戶提交的資料與smbpasswd中存放的信息進(jìn)行比對(duì)，如果相同，并且samba服務(wù)器其他安全設(shè)置允許，客戶端與samba服務(wù)器的連接才能建立成功。三、項(xiàng)目實(shí)施任務(wù)5-3samba服務(wù)的日志文件和密碼文件那如何建立samba賬號(hào)呢？首先，samba賬號(hào)并不能直接建立，需要先建立Linux同名的系統(tǒng)賬號(hào)。例如，如果要建立一個(gè)名為yy的samba賬號(hào)，那么Linux系統(tǒng)中必須提前存在一個(gè)同名的yy系統(tǒng)賬號(hào)。samba中添加賬號(hào)的命令為smbpasswd，格式為：smbpasswd-a用戶名三、項(xiàng)目實(shí)施任務(wù)5-3samba服務(wù)的日志文件和密碼文件【例5-4】在samba服務(wù)器中添加samba賬號(hào)reading。（1）建立Linux系統(tǒng)賬號(hào)reading。[root@Server01~]#useraddreading[root@Server01~]#passwdreading（2）添加reading用戶的samba賬號(hào)。[root@Server01~]#smbpasswd-areading三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析在KylinV10中，samba服務(wù)程序默認(rèn)使用的是用戶口令認(rèn)證（user）模式。這種認(rèn)證模式可以確保僅讓有密碼且受信任的用戶訪問共享資源，而且驗(yàn)證過程十分簡(jiǎn)單?！纠?-5】如果公司有多個(gè)部門，因工作需要，就必須分門別類地建立相應(yīng)部門的目錄。要求將銷售部的資料存放在samba服務(wù)器的/companydata/sales/目錄下集中管理，以便銷售人員瀏覽，并且該目錄只允許銷售部員工訪問。需求分析：在/companydata/sales/目錄中存放有銷售部的重要數(shù)據(jù)，為了保證其他部門無法查看其內(nèi)容，我們需要將全局配置中security設(shè)置為user安全級(jí)別。這樣就啟用了samba服務(wù)器的身份驗(yàn)證機(jī)制。然后在共享目錄/companydata/sales下設(shè)置validusers字段，配置只允許銷售部員工訪問這個(gè)共享目錄。三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（1）建立共享目錄，并在其下建立測(cè)試文件。[root@Server01~]#mkdir/companydata[root@Server01~]#mkdir/companydata/sales[root@Server01~]#touch/companydata/sales/test_share.tar三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（2）添加銷售部用戶和組并添加相應(yīng)的samba賬號(hào)。①使用groupadd命令添加sales組，然后執(zhí)行useradd命令和passwd命令，以添加銷售部員工的賬號(hào)及密碼。此處單獨(dú)增加一個(gè)test_user1賬號(hào)，不屬于sales組，供測(cè)試用。[root@Server01~]#groupaddsales #建立銷售組sales[root@Server01~]#useradd-gsalessale1 #建立用戶sale1，添加到sales組[root@Server01~]#useradd-gsalessale2 #建立用戶sale2，添加到sales組[root@Server01~]#useraddtest_user1 #供測(cè)試用[root@Server01~]#passwdsale1 #設(shè)置用戶sale1密碼[root@Server01~]#passwdsale2 #設(shè)置用戶sale2密碼[root@Server01~]#passwdtest_user1 #設(shè)置用戶test_user1密碼三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析②為銷售部成員添加相應(yīng)samba賬號(hào)。[root@Server01~]#smbpasswd-asale1[root@Server01~]#smbpasswd-asale2三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（3）修改samba主配置文件：vim/etc/samba/smb.conf。直接在原文件未尾添加，但要注意將原文件的[global]刪除或用“#”注釋掉，文件中不能有兩個(gè)同名的[global]。當(dāng)然也可直接在原來的[global]上進(jìn)行修改。

39[global]40workgroup=Workgroup41serverstring=FileServer42security=user43#設(shè)置user安全級(jí)別模式，取默認(rèn)值

44passdbbackend=tdbsam45printing=cups46printcapname=cups47loadprinters=yes48cupsoptions=raw

49[sales]50#設(shè)置共享目錄的共享名為sales51comment=sales52path=/companydata/sales53#設(shè)置共享目錄的絕對(duì)路徑

54writable=yes55browseable=yes56validusers=@sales57#設(shè)置可以訪問的用戶為sales組三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（4）設(shè)置共享目錄的本地系統(tǒng)權(quán)限和屬組。[root@Server01~]#chmod770/companydata/sales-R[root@Server01~]#chown:sales/companydata/sales-R-R參數(shù)是遞歸用的，一定要加上。三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（5）更改共享目錄和用戶家目錄的context值，或者禁掉SELinux。[root@Server01~]#chcon-tsamba_share_t/companydata/sales-R[root@Server01~]#chcon-tsamba_share_t/home/sale1-R[root@Server01~]#chcon-tsamba_share_t/home/sale2-R或者：[root@Server01~]#getenforceEnforcing[root@Server01~]#setenforcePermissive或者：[root@Server01~]#setenforce0三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（6）讓防火墻放行，這一步很重要。[root@Server01~]#firewall-cmd--permanent--add-service=samba[root@Server01~]#firewall-cmd--reload //重新加載防火墻[root@Server01~]#firewall-cmd--list-allpublic(active)………………services:sshdhcpv6-clientsamba //已經(jīng)加入防火墻的允許服務(wù)

ports:………………三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（7）重新加載samba服務(wù)并設(shè)置開機(jī)時(shí)自動(dòng)啟動(dòng)。

[root@Server01~]#systemctlrestartsmb[root@Server01~]#systemctlenablesmb（8）測(cè)試。一是在Windows10中利用資源管理器進(jìn)行測(cè)試，二是利用Linux客戶端。三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析以下的操作在Client2上進(jìn)行。（1）使用UNC路徑直接進(jìn)行訪問依次選擇“開始”→“運(yùn)行”命令，使用UNC路徑直接進(jìn)行訪問，例如\\192.168.10.1。打開“Windows安全”對(duì)話框，如圖所示。輸入sale1或sale2及其密碼，登錄后可以正常訪問。三、項(xiàng)目實(shí)施任務(wù)5-4user服務(wù)器實(shí)例解析（2）使用映射網(wǎng)絡(luò)驅(qū)動(dòng)器訪問samba服務(wù)器共享目錄①Windows10默認(rèn)是不會(huì)在桌面雙擊“此電腦”圖標(biāo)，再依次選擇“計(jì)算機(jī)”→“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”命令，如圖所示。②單擊“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”命令，在彈出的“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”對(duì)話框中選擇Z驅(qū)動(dòng)器，并輸入sales共享目錄的地址，如\\\sales，如圖所示。③單擊“完成”按鈕，在接下來的對(duì)話框中輸入可以訪問sales共享目錄的samba賬號(hào)和密碼。④再次雙擊“此電腦”圖標(biāo)，如圖所示。驅(qū)動(dòng)器Z就是共享目錄sales，就可以很方便地訪問了。三、項(xiàng)目實(shí)施任務(wù)5-5配置可匿名訪問的samba服務(wù)器【例5-6】公司需要添加samba服務(wù)器作為文件服務(wù)器，工作組名為Workgroup，共享目錄為/share，共享名為public，這個(gè)共享目錄允許公司所有員工下載文件，但不允許上傳文件。step1：在Server01上建立share目錄，并在其下建立測(cè)試文件，設(shè)置共享文件夾本地系統(tǒng)權(quán)限。[root@Server01～]#mkdir/share;touch/share/test_share.tar[root@Server01～]#chmod645/share-R三、項(xiàng)目實(shí)施任務(wù)5-5配置可匿名訪問的samba服務(wù)器step2：修改samba主配置文件smb.conf。

[root@Server01～]#vim/etc/samba/smb.conf在任務(wù)5-4的基礎(chǔ)上修改配置文件，與任務(wù)5-4配置文件內(nèi)容一樣的不再顯示出來。

39 [global] …………44 maptoguest=baduser …………50 [public]51 comment=public52 path=/share53 guestok=yes54 #允許匿名用戶訪問

55 browseable=yes56 #在客戶端顯示共享的目錄

57 public=yes58 #最后設(shè)置允許匿名訪問

59 readonly=yes三、項(xiàng)目實(shí)施任務(wù)5-5配置可匿名訪問的samba服務(wù)器step3：讓防火墻放行samba服務(wù)。在任務(wù)5-4中已詳細(xì)設(shè)置，這里不再贅述。。step4：更改共享目錄的context值。[root@Server01～]#chcon-tsamba_share_t/sharestep5：重新加載配置?？梢允褂胷estart重新啟動(dòng)服務(wù)或者使用reload重新加載配置。[root@Server01～]#systemctlrestartsmb//或者[root@Server01～]#systemctlreloadsmb三、項(xiàng)目實(shí)施任務(wù)5-5配置可匿名訪問的samba服務(wù)器（2）解決Windows10默認(rèn)不允許匿名訪問的問題①在Client2的命令提示符下輸入命令“gpedit.msc”，并單擊“確定”按鈕。②待本地組策略編輯器彈出后，依次選取“計(jì)算機(jī)管理”→“管理模板”→“網(wǎng)絡(luò)”→“l(fā)anman工作站”命令。③在右側(cè)窗口找到“啟用不安全的來賓登錄”選項(xiàng)，將之調(diào)整為“已啟用”，單擊“應(yīng)用”→“確定”按鈕。④重啟設(shè)備再次測(cè)試。三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置samba高級(jí)服務(wù)器配置使我們搭建的samba服務(wù)器功能更強(qiáng)大，管理更靈活，數(shù)據(jù)也更安全。1.用戶賬號(hào)映射samba的用戶賬號(hào)信息被保存在smbpasswd文件中，而且可以訪問samba服務(wù)器的賬號(hào)也必須對(duì)應(yīng)一個(gè)同名的系統(tǒng)賬號(hào)?；谶@一點(diǎn)，對(duì)于一些入侵者來說，只要知道samba服務(wù)器的samba賬號(hào)，就等于知道了Linux系統(tǒng)賬號(hào)，只要“暴力破解”其samba賬號(hào)密碼并加以利用，就可以攻擊samba服務(wù)器。為了保障samba服務(wù)器的安全，使用用戶賬號(hào)映射。那么什么是用戶賬號(hào)映射呢？使用用戶賬號(hào)映射需要建立一個(gè)賬號(hào)映射關(guān)系表，里面記錄了samba賬號(hào)和虛擬賬號(hào)（映射賬號(hào)）的對(duì)應(yīng)關(guān)系，客戶端訪問samba服務(wù)器時(shí)就使用映射賬號(hào)來登錄。三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置【例5-7】將例5-5中的sale1賬號(hào)分別映射為suser1和myuser1，將sale2賬號(hào)映射為suser2。（僅對(duì)與例5-5中不同的地方進(jìn)行設(shè)置，相同的設(shè)置不贅述，如權(quán)限、防火墻等。）（1） 編輯主配置文件/etc/samba/smb.conf。在[global]下添加一行語句usernamemap=/etc/samba/smbusers，開啟用戶賬號(hào)映射功能。（2） 編輯/etc/samba/smbusers。smbusers文件中保存有賬號(hào)映射關(guān)系，其固定格式如下。

samba賬號(hào)=虛擬賬號(hào)（映射賬號(hào)） 本例應(yīng)加入下面的行。賬號(hào)sale1就是前文建立的samba賬號(hào)（同時(shí)也是Linux系統(tǒng)賬號(hào)），suser1及myuser1是映射賬號(hào)。訪問共享目錄時(shí)，只要使用suser1或myuser1，就可以成功訪問了，但是實(shí)際上訪問samba服務(wù)器的還是sale1賬號(hào)，這樣就解決了安全問題。同樣，suser2是sale2的映射賬號(hào)。三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置（3） 重啟samba服務(wù)。[root@Server01~]#systemctlrestartsmb（4） 驗(yàn)證效果。先注銷Windows10，然后在Windows10客戶端的資源管理器地址欄中輸入\\（samba服務(wù)器的地址是），在彈出的對(duì)話框中輸入定義的映射賬號(hào)myuser1及密碼（注意不是輸入賬號(hào)sale1及密碼），如圖所示。單擊“確定”按鈕，打開圖所示的服務(wù)器上的共享資源界面，在空白處右擊，選擇“新建”→“文件夾”命令，可以成功建立文件夾。映射賬號(hào)myuser1的密碼和sale1賬號(hào)的一樣，并且可以通過映射賬號(hào)瀏覽共享目錄。三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置2.客戶端訪問控制對(duì)于samba服務(wù)器的安全性，可以使用validusers字段實(shí)現(xiàn)用戶訪問控制，但是如果企業(yè)龐大且存在大量用戶，這種方法操作起來就比較麻煩。比如samba服務(wù)器共享一個(gè)目錄，但是要禁止某個(gè)IP子網(wǎng)或某個(gè)域的客戶端訪問，使用validusers字段就無法實(shí)現(xiàn)客戶端訪問控制，而使用hostsallow和hostsdeny兩個(gè)字段可以實(shí)現(xiàn)該功能。（1）hostsallow和hostsdeny字段的使用方法hostsallow字段定義允許訪問的客戶端hostsdeny字段定義禁止訪問的客戶端三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置（2）hostsallow和hostsdeny的作用范圍將hostsallow和hostsdeny設(shè)置在不同的位置上，它們的作用范圍就不一樣。設(shè)置在[global]中，表示對(duì)samba服務(wù)器全局生效；設(shè)置在目錄下，則表示只對(duì)這個(gè)目錄生效。[global]hostsdeny=ALLhostsallow=6這樣設(shè)置表示只有6才可以訪問samba服務(wù)器，全局生效[security]hostsdeny=ALLhostsallow=6三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置（3） 使用IP地址進(jìn)行訪問控制?！纠?-8】仍以例5-5為例，某公司內(nèi)部samba服務(wù)器上的共享目錄/companydata/sales用于存放銷售部的資料，公司規(guī)定/24這個(gè)網(wǎng)段的IP地址禁止訪問sales共享目錄，但是0這個(gè)IP地址可以訪問。①修改配置文件smb.conf。在配置文件smb.conf中添加hostsdeny和hostsallow字段。[sales]comment=salespath=/companydata/sales#設(shè)置共享目錄的絕對(duì)路徑hostsdeny=192.168.10.#禁止所有來自/24網(wǎng)段的IP地址訪問hostsallow=0#允許0這個(gè)IP地址訪問三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置（4） 使用域名進(jìn)行訪問控制。【例5-9】某公司samba服務(wù)器上共享了一個(gè)目錄public，公司規(guī)定.域的客戶端不能訪問，并且主機(jī)名為client1的客戶端也不能訪問。（5） 使用通配符進(jìn)行訪問控制?！纠?-10】samba服務(wù)器上共享了一個(gè)目錄security，規(guī)定除主機(jī)boss外的其他賬號(hào)不允許訪問。3.設(shè)置samba的權(quán)限【例5-12】某公司samba服務(wù)器上有共享目錄tech，公司規(guī)定只有boss賬號(hào)和tech組成員擁有完全控制權(quán)限，其他賬號(hào)只有只讀權(quán)限。三、項(xiàng)目實(shí)施任務(wù)5-6samba高級(jí)服務(wù)器配置4.samba的隱藏共享（1） 使用browseable字段實(shí)現(xiàn)隱藏共享?！纠?-13】把samba服務(wù)器上技術(shù)部的共享目錄tech隱藏。（2） 使用獨(dú)立配置文件?！纠?-14】samba服務(wù)器上有一個(gè)共享目錄tech，此目錄只有boss賬號(hào)可以訪問，其他賬號(hào)都不可以訪問。三、項(xiàng)目實(shí)施任務(wù)5-7samba的打印共享在默認(rèn)情況下，samba的打印服務(wù)是開放的，只要把打印機(jī)安裝好，客戶端就可以使用打印機(jī)。1．設(shè)置global配置項(xiàng)修改smb.conf全局配置，開啟打印共享功能。[global]loadprinters=yescupsoptions=rawprintcapname=/etc/三、項(xiàng)目實(shí)施任務(wù)5-7samba的打印共享2．設(shè)置printers配置項(xiàng)[printers]comment=Allprinterspath=/usr/spool/sambabrowseable=noguestok=nowritable=yesprintable=yes使用默認(rèn)設(shè)置就可以讓客戶端正常使用打印機(jī)了。需要注意的是，printable字段一定要設(shè)置成yes，path字段定義打印機(jī)隊(duì)列，可以根據(jù)需要定制。另外，共享打印和共享目錄不一樣，安裝完打印機(jī)后必須重新啟動(dòng)samba服務(wù)，否則客戶端可能無法看到共享的打印機(jī)。如果只允許部分員工使用打印機(jī)，則可以使用validusers、hostsallow或hostsdeny字段來實(shí)現(xiàn)，可以參見前文的講解。項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：配置與管理Samba服務(wù)器內(nèi)容導(dǎo)航CONTENTS1.視頻學(xué)習(xí)四、項(xiàng)目實(shí)錄配置與管理Samba服務(wù)器實(shí)訓(xùn)前請(qǐng)掃描二維碼觀看“項(xiàng)目實(shí)錄

配置與管理samba服務(wù)器”慕課。2．項(xiàng)目背景某公司有system、develop、productdesign和test等4個(gè)小組，個(gè)人辦公操作系統(tǒng)為Windows10，少數(shù)開發(fā)人員采用Linux操作系統(tǒng)，服務(wù)器操作系統(tǒng)為openEulerOS，需要設(shè)計(jì)一套建立在openEulerOS之上的安全文件共享方案。每個(gè)用戶都有自己的網(wǎng)絡(luò)磁盤，develop組到test組有共用的網(wǎng)絡(luò)硬盤，所有用戶（包括匿名用戶）有一個(gè)只讀共享資料庫；所有用戶（包括匿名用戶）要有一個(gè)存放臨時(shí)文件的文件夾。網(wǎng)絡(luò)拓?fù)淙鐖D所示。四、項(xiàng)目實(shí)錄配置與管理Samba服務(wù)器3．項(xiàng)目要求（1）System組具有管理所有samba空間的權(quán)限。（2）各部門的私有空間：各小組擁有自己的空間，除了小組成員及system組有權(quán)限以外，其他用戶不可訪問（包括列表、讀和寫）。（3）資料庫：所有用戶（包括匿名用戶）都具有讀取權(quán)限而不具有寫入數(shù)據(jù)的權(quán)限。（4）develop組與test組之外的用戶不能訪問develop組與test組的共享空間。（5）公共臨時(shí)空間：讓所有用戶可以讀取、寫入、刪除。四、項(xiàng)目實(shí)錄配置與管理Samba服務(wù)器項(xiàng)目6

配置與管理NFS服務(wù)器《網(wǎng)絡(luò)服務(wù)器搭建、配置與管理Linux（麒麟/歐拉）》“十四五”職業(yè)教育國家規(guī)劃教材能力要求CAPACITY了解NFS服務(wù)的基本原理。0103掌握NFS客戶端的配置方法。02掌握排除NFS故障的技巧。04掌握NFS服務(wù)器的配置與調(diào)試方法。思政導(dǎo)入IDEOLOGY了解國家科學(xué)技術(shù)獎(jiǎng)中最高等級(jí)的獎(jiǎng)項(xiàng)——國家最高科學(xué)技術(shù)獎(jiǎng)，激發(fā)學(xué)生的科學(xué)精神和愛國情懷。思政目標(biāo)IDEOLOGY“盛年不重來，一日難再晨。及時(shí)當(dāng)勉勵(lì)，歲月不待人?！笔⑹乐拢嗄陮W(xué)生要惜時(shí)如金，學(xué)好知識(shí)，報(bào)效國家。思政內(nèi)容IDEOLOGY國家最高科學(xué)技術(shù)獎(jiǎng)于2000年由中華人民共和國國務(wù)院設(shè)立，由國家科學(xué)技術(shù)獎(jiǎng)勵(lì)工作辦公室負(fù)責(zé)，是中國5個(gè)國家科學(xué)技術(shù)獎(jiǎng)中最高等級(jí)的獎(jiǎng)項(xiàng)，授予在當(dāng)代科學(xué)技術(shù)前沿取得重大突破、在科學(xué)技術(shù)發(fā)展中有卓越建樹，或者在科學(xué)技術(shù)創(chuàng)新、科學(xué)技術(shù)成果轉(zhuǎn)化和高技術(shù)產(chǎn)業(yè)化中創(chuàng)造巨大社會(huì)效益或經(jīng)濟(jì)效益的科學(xué)技術(shù)工作者。國家科學(xué)技術(shù)獎(jiǎng)勵(lì)工作辦公室官網(wǎng)顯示，國家最高科學(xué)技術(shù)獎(jiǎng)每年評(píng)選一次，授予人數(shù)每次不超過兩名，由國家主席親自簽署、頒發(fā)榮譽(yù)證書、獎(jiǎng)?wù)潞酮?jiǎng)金。截至2021年11月，共有35位杰出科學(xué)工作者獲得該獎(jiǎng)。其中，計(jì)算機(jī)科學(xué)家王選院士獲此殊榮。項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：配置與管理NFS服務(wù)器內(nèi)容導(dǎo)航CONTENTS一、項(xiàng)目知識(shí)準(zhǔn)備NFS服務(wù)概述Linux操作系統(tǒng)和Windows操作系統(tǒng)之間可以通過samba共享文件，那么Linux操作系統(tǒng)之間怎么進(jìn)行資源共享呢？這就要用到網(wǎng)絡(luò)文件系統(tǒng)（NetworkFileSystem，NFS）。它最早是UNIX操作系統(tǒng)之間共享文件和操作系統(tǒng)的一種方法，后來被Linux操作系統(tǒng)完美繼承。NFS與Windows操作系統(tǒng)下的“網(wǎng)上鄰居”十分相似，它允許用戶連接到一個(gè)共享位置，然后像對(duì)待本地硬盤一樣操作。NFS最早是由Sun公司（已被Oracle公司收購）于1984年開發(fā)出來的，其目的就是讓不同計(jì)算機(jī)、不同操作系統(tǒng)之間可以共享文件。由于NFS使用起來非常方便，因此很快得到了大多數(shù)UNIX/Linux操作系統(tǒng)的支持，而且被因特網(wǎng)工程任務(wù)組（InternetEngineeringTaskForce，IETF）指定為RFC1904、RFC1813和RFC3010標(biāo)準(zhǔn)。一、項(xiàng)目知識(shí)準(zhǔn)備NFS服務(wù)概述1. 使用NFS的好處（1）本地工作站可以使用更少的磁盤空間，因?yàn)槌Ｒ?guī)的數(shù)據(jù)可以存放在共享服務(wù)器上，而且可以通過網(wǎng)絡(luò)訪問。（2）用戶不必在網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)中都設(shè)一個(gè)home目錄。home目錄可以放在NFS服務(wù)器上，并且在網(wǎng)絡(luò)上處處可用。（3） 諸如CD-ROM、DVD-ROM之類的存儲(chǔ)設(shè)備可以在網(wǎng)絡(luò)上被其他計(jì)算機(jī)使用。這可以減少整個(gè)網(wǎng)絡(luò)上可移動(dòng)存儲(chǔ)設(shè)備的數(shù)量。一、項(xiàng)目知識(shí)準(zhǔn)備NFS服務(wù)概述1. NFS和RPC我們知道，絕大部分的網(wǎng)絡(luò)服務(wù)都有固定的端口，如Web服務(wù)器的80端口、FTP服務(wù)器的21端口、Windows下NetBIOS服務(wù)器的137～139端口、DHCP服務(wù)器的67端口……客戶端訪問服務(wù)器上相應(yīng)的端口，服務(wù)器通過端口提供服務(wù)。那么NFS服務(wù)是這樣的嗎？它的工作端口是哪個(gè)？我們只能很遺憾地說：“NFS服務(wù)的工作端口未確定?！边@是因?yàn)镹FS是一個(gè)很復(fù)雜的組件，它涉及文件傳輸、身份驗(yàn)證等方面的需求，每個(gè)服務(wù)器都會(huì)占用一個(gè)端口。為了防止NFS服務(wù)占用過多的固定端口，它采用動(dòng)態(tài)端口的方式來工作，每個(gè)服務(wù)器提供服務(wù)時(shí)，都會(huì)隨機(jī)取用一個(gè)小于1024的端口來提供服務(wù)。但這樣一來又會(huì)對(duì)客戶端造成困擾，客戶端到底訪問哪個(gè)端口才能獲得NFS提供的服務(wù)呢？一、項(xiàng)目知識(shí)準(zhǔn)備NFS服務(wù)概述1. NFS和RPC此時(shí)，就需要用到遠(yuǎn)程過程調(diào)用（RemoteProcedureCall，RPC）服務(wù)了。RPC的主要功能是記錄每個(gè)NFS服務(wù)器對(duì)應(yīng)的端口，它工作在固定端口111。當(dāng)客戶端請(qǐng)求提供NFS服務(wù)時(shí)，會(huì)訪問服務(wù)器的111端口（RPC），RPC會(huì)將NFS工作端口返回給客戶端。NFS啟動(dòng)時(shí)，自動(dòng)向RPC服務(wù)器注冊(cè)，告訴它自己各個(gè)服務(wù)器使用的端口。NFS與RPC合作為客戶端提供服務(wù)，如圖所示。一、項(xiàng)目知識(shí)準(zhǔn)備NFS服務(wù)概述1. NFS和RPC

常規(guī)的NFS服務(wù)是按照如下流程進(jìn)行的。①NFS服務(wù)啟動(dòng)時(shí)，自動(dòng)選擇工作端口小于1024的1011端口，并向RPC服務(wù)器（工作于111端口）匯報(bào)，RPC服務(wù)被記錄在案。②客戶端需要NFS提供服務(wù)時(shí)，首先向111端口的RPC服務(wù)查詢NFS服務(wù)工作在哪個(gè)端口。③RPC服務(wù)回答客戶端，NFS服務(wù)工作在1011端口。④客戶端直接訪問NFS服務(wù)器的1011端口，請(qǐng)求服務(wù)。⑤NFS服務(wù)經(jīng)過權(quán)限認(rèn)證，允許客戶端訪問自己的數(shù)據(jù)。一、項(xiàng)目知識(shí)準(zhǔn)備NFS服務(wù)的守護(hù)進(jìn)程Linux中NFS服務(wù)的守護(hù)進(jìn)程主要由以下6個(gè)。其中，只有前面3個(gè)是必需的，后面3個(gè)是可選的。1.rpc.nfsdrpc.nfsd守護(hù)進(jìn)程的主要作用是判斷、檢查客戶端是否具備登錄主機(jī)的權(quán)限，負(fù)責(zé)處理NFS請(qǐng)求。2.rpc.mountedrpc.mounted守護(hù)進(jìn)程的主要作用是管理NFS。當(dāng)客戶端順利通過rpc.nfsd登錄主機(jī)后，在開始使用NFS提供的文件之前，它會(huì)檢查客戶端的權(quán)限（根據(jù)/etc/exports來對(duì)比客戶端的權(quán)限）。只有通過檢查后，客戶端才可以順利訪問NFS服務(wù)器上的資源。一、項(xiàng)目知識(shí)準(zhǔn)備NFS服務(wù)的守護(hù)進(jìn)程3. rpcbindrpcbind守護(hù)進(jìn)程的主要功能是進(jìn)行端口映射。當(dāng)客戶端嘗試連接并使用RPC服務(wù)器提供的服務(wù)（如NFS服務(wù)）時(shí)，rpcbind會(huì)將所管理的與服務(wù)對(duì)應(yīng)的端口號(hào)提供給客戶端，從而使客戶端可以通過對(duì)應(yīng)端口向服務(wù)器請(qǐng)求服務(wù)。在KylinOSV10中，rpcbind默認(rèn)已安裝并且已經(jīng)正常啟動(dòng)。4. rpc.locked既然共享的NFS文件可以讓客戶端使用，那么當(dāng)多個(gè)客戶端同時(shí)嘗試寫入某個(gè)文件時(shí)，就可能出現(xiàn)問題。rpc.locked則可以用來解決這些問題。但是rpc.locked必須要在客戶端與服務(wù)器都開啟后才可用。此外，rpc.locked也常與rpc.stated同時(shí)啟動(dòng)。一、項(xiàng)目知識(shí)準(zhǔn)備NFS服務(wù)的守護(hù)進(jìn)程5. rpc.statedrpc.stated守護(hù)進(jìn)程負(fù)責(zé)處理客戶端與服務(wù)器之間的文件鎖定問題，確定文件的一致性（與rpc.locked有關(guān)）。當(dāng)因?yàn)槎鄠€(gè)客戶端同時(shí)使用一個(gè)文件而造成文件被破壞時(shí)，rpc.stated可以用來檢測(cè)該文件并嘗試恢復(fù)。6.rpc.quotadrpc.quotad守護(hù)進(jìn)程提供了NFS和配額管理程序之間的接口。不管客戶端是否通過NFS對(duì)數(shù)據(jù)進(jìn)行處理，都會(huì)受配額限制。項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：配置與管理NFS服務(wù)器內(nèi)容導(dǎo)航CONTENTS二、項(xiàng)目設(shè)計(jì)與準(zhǔn)備在VMware虛擬機(jī)中啟動(dòng)兩臺(tái)Linux計(jì)算機(jī)，其中一臺(tái)作為NFS服務(wù)器，主機(jī)名為Server01，規(guī)劃好IP地址，如；另一臺(tái)作為NFS客戶端，主機(jī)名為Client1，同樣規(guī)劃好IP地址，如0。配置NFS服務(wù)器，使得NFS客戶端Client1可以瀏覽NFS服務(wù)器中特定目錄下的內(nèi)容。NFS服務(wù)器和NFS客戶端使用的操作系統(tǒng)以及IP地址可以根據(jù)表來設(shè)置。二、項(xiàng)目設(shè)計(jì)與準(zhǔn)備設(shè)備準(zhǔn)備本項(xiàng)目要用到Server01和Client1，設(shè)備情況如表所示:主機(jī)名操作系統(tǒng)IP

地址網(wǎng)絡(luò)連接模式NFS

服務(wù)器：Server01Kylin

V10VMnet8NFS

客戶端：Client1Kylin

V100VMnet8項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：配置與管理NFS服務(wù)器內(nèi)容導(dǎo)航CONTENTS三、項(xiàng)目實(shí)施任務(wù)6-1配置一臺(tái)完整的NFS服務(wù)器1.安裝NFS服務(wù)器要成功啟用NFS服務(wù)，必須保證服務(wù)器中已經(jīng)安裝了rpcbind和nfs-utils兩個(gè)軟件包。（1） 安裝NFS服務(wù)必需的軟件包①rpcbind我們知道，NFS服務(wù)要正常運(yùn)行，就必須借助RPC服務(wù)，做好端口映射工作，而這個(gè)工作就是由rpcbind負(fù)責(zé)的。一般Linux啟動(dòng)后，都會(huì)自動(dòng)執(zhí)行該文件，可以用以下命令查看該命令是否執(zhí)行:[root@Server01~]#ps-eaf|greprpcbindrpc9441006:33?00:00:00/usr/bin/rpcbind-w-froot31262839007:04pts/000:00:00grep--color=autorpcbind三、項(xiàng)目實(shí)施任務(wù)6-1配置一臺(tái)完整的NFS服務(wù)器rpcbind默認(rèn)監(jiān)聽TCP和UDP的111端口，當(dāng)客戶端請(qǐng)求RPC服務(wù)時(shí)，先與該端口聯(lián)系，詢問所請(qǐng)求的RPC服務(wù)是由哪個(gè)端口提供的?？梢酝ㄟ^以下命令查看111端口是否已經(jīng)處于監(jiān)聽狀態(tài)。[root@Server01~]#netstat-anp|grep:111tcp00:111:*LISTEN1/systemdtcp600:::111:::*LISTEN1/system②nfs-utilsnfs-utils是提供rpc.nfsd和rpc.mounted這兩個(gè)守護(hù)進(jìn)程與其他相關(guān)文檔、執(zhí)行文件的套件，是NFS服務(wù)的主要套件。三、項(xiàng)目實(shí)施任務(wù)6-1配置一臺(tái)完整的NFS服務(wù)器（2）安裝NFS服務(wù)器建議在安裝NFS服務(wù)器之前，使用如下命令檢測(cè)系統(tǒng)中是否安裝了NFS相關(guān)性軟件包。[root@Server01~]#rpm-qa|grepnfs-utilsnfs-utils-2.3.3-31.el8.x86_64[root@Server01~]#rpm-qa|greprpcbindrpcbind-1.2.5-7.el8.x86_64如果系統(tǒng)中還沒有安裝NFS軟件包，則可以使用dnf命令安裝所需的軟件包。三、項(xiàng)目實(shí)施任務(wù)6-1配置一臺(tái)完整的NFS服務(wù)器（2）安裝NFS服務(wù)器①使用dnf命令安裝NFS軟件包。[root@Server01~]#mount/dev/cdrom/media[root@Server01~]#vim/etc/yum.repos.d/dvd.repo[root@Server01~]#dnfcleanall//安裝前先清除緩存[root@Server01~]#dnfinstallrpcbindnfs-utils–y②軟件包安裝完畢，可以使用rpm命令再次查詢。[root@Server01~]#rpm-qa|grepnfs[root@Server01~]#rpm-qa|greprpc三、項(xiàng)目實(shí)施任務(wù)6-1配置一臺(tái)完整的NFS服務(wù)器2．啟動(dòng)NFS，并設(shè)置防火墻（1）查詢NFS的各個(gè)程序是否正常運(yùn)行，命令如下。[root@Server01~]#rpcinfo–p（2）如果沒有看到nfs和mountd，則說明NFS沒有運(yùn)行，需要啟動(dòng)它?？梢允褂靡韵旅顔?dòng)（3個(gè)服務(wù)的啟動(dòng)順序不能變）。[root@Server01~]#systemctlstartrpcbind[root@Server01~]#systemctlenablerpcbind[root@Server01~]#systemctlstartnfs-utils[root@Server01~]#systemctlstartnfs-server[root@Server01~]#systemctlenablenfs-server三、項(xiàng)目實(shí)施任務(wù)6-1配置一臺(tái)完整的NFS服務(wù)器2．啟動(dòng)NFS，并設(shè)置防火墻（3）設(shè)置rpc-bind、mountd和nfs這3個(gè)服務(wù)的防火墻選項(xiàng)為允許。[root@Server01~]#firewall-cmd--permanent--add-service=rpc-bind[root@Server01~]#firewall-cmd--permanent--add-service=mountd[root@Server01~]#firewall-cmd--permanent--add-service=nfs[root@Server01~]#firewall-cmd--reload三、項(xiàng)目實(shí)施任務(wù)6-1配置一臺(tái)完整的NFS服務(wù)器3．配置文件/etc/exportsNFS服務(wù)的配置，主要是創(chuàng)建并維護(hù)/etc/exports文件。這個(gè)文件定義了服務(wù)器上的哪幾個(gè)部分與網(wǎng)絡(luò)上的其他計(jì)算機(jī)共享，以及共享的規(guī)則都有哪些等。（1）exports文件的格式現(xiàn)在來看看應(yīng)該如何配置/etc/exports文件。某些Linux發(fā)行套件并不會(huì)主動(dòng)提供/etc/exports文件，此時(shí)需要手動(dòng)創(chuàng)建?！纠?-1】請(qǐng)看下面的示例，一定要先建立需要的共享目錄和測(cè)試文件，否則會(huì)出錯(cuò)。三、項(xiàng)目實(shí)施任務(wù)6-1配置一臺(tái)完整的NFS服務(wù)器3．配置文件/etc/exports【例6-1】請(qǐng)看下面的示例，一定要先建立需要的共享目錄和測(cè)試文件，否則會(huì)出錯(cuò)。[root@Server01~]#mkdir/tmp1/tmp2/home/dir1/pub[root@Server01~]#touch/tmp1/f1/tmp2/f2/home/dir1/f3/pub/f4[root@Server01~]#vim/etc/exports[root@Server01~]#cat/etc/exports-n1/Server01(rw,no_root_squash)2/tmp1*(rw)*.(rw,sync)3/tmp2/24(ro)4/home/dir1Client1(rw,all_squash,anonuid=1200,anongid=1200)5/pub*(ro,insecure,all_squash))三、項(xiàng)目實(shí)施任務(wù)6-1配置一臺(tái)完整的NFS服務(wù)器3．配置文件/etc/exports（2）主機(jī)名規(guī)則/etc/exports文件的設(shè)置很簡(jiǎn)單，每一行最前面是要共享的目錄，這個(gè)目錄可以依照不同的權(quán)限共享給不同的主機(jī)。至于主機(jī)名的設(shè)定，主要有以下兩種方式。①可以使用完整的IP地址或者網(wǎng)段，例如、/24或/。②可以使用主機(jī)名，這個(gè)主機(jī)名要在/etc/hosts內(nèi)或者使用DNS，只要能被找到就行（重點(diǎn)是可以找到IP地址）。如果是主機(jī)名，那么它可以支持通配符，例如“*”或“？”。（3）權(quán)限規(guī)則：至于權(quán)限方面（就是圓括號(hào)內(nèi)的參數(shù)），常用參數(shù)及說明如下表所示。三、項(xiàng)目實(shí)施任務(wù)6-1配置一臺(tái)完整的NFS服務(wù)器參數(shù)說明rwread-write，可讀寫的權(quán)限r(nóng)oread-only，只讀權(quán)限sync將數(shù)據(jù)同步寫入內(nèi)存與硬盤當(dāng)中async數(shù)據(jù)會(huì)先暫存于內(nèi)存當(dāng)中，而非直接寫入硬盤no_root_squash如果登錄NFS

主機(jī)使用共享目錄的用戶，是root，那么對(duì)于這個(gè)共享目錄來說，它就具有root

的權(quán)限。這個(gè)設(shè)置極不安全，不建議使用root_squash如果登錄NFS

主機(jī)使用共享目錄的用戶是root，那么這個(gè)用戶的權(quán)限將被壓縮成匿名用戶，通常它的UID

與GID

都會(huì)變成nobody（nfsnobody）這個(gè)系統(tǒng)賬號(hào)的身份all_squash不論登錄NFS

的用戶身份如何，它的身份都會(huì)被壓縮成匿名用戶，即nobody（nfsnobody）anonuidanon是指anonymous（匿名者），前面關(guān)于squash提到的匿名用戶的UID的設(shè)定值通常為nobody（nfsnobody），但是可以自行設(shè)定這個(gè)UID。當(dāng)然，這個(gè)UID

必須存在于/etc/passwd

中anongid同anonuid，但是UID

變成了GID三、項(xiàng)目實(shí)施任務(wù)6-1配置一臺(tái)完整的NFS服務(wù)器4.使用exportfs命令如果修改/etc/exports文件后不需要重新激活NFS，則只要使用exportfs-r命令重新掃描一次/etc/exports文件并重新將設(shè)定加載即可。exportfs命令常用選項(xiàng)及說明如表所示。【例6-2】接例6-1，使用exportfs命令對(duì)/etc/exports文件進(jìn)行一系列操作，觀察輸出結(jié)果。選項(xiàng)說明-a全部加載/etc/exports

的設(shè)置-r重新加載/etc/exports

的設(shè)置-u卸載某一目錄-v將共享目錄顯示在屏幕上三、項(xiàng)目實(shí)施任務(wù)6-2在客戶端掛載NFSLinux中有多個(gè)好用的命令行工具，用于查看、連接、卸載、使用NFS服務(wù)器上的共享資源。1．配置NFS客戶端配置NFS客戶端的一般步驟如下。（1）安裝nfs-utils軟件包。（2）識(shí)別要訪問的遠(yuǎn)程共享。showmount-eNFS服務(wù)器的IP地址（3）確定掛載點(diǎn)。mkdir/nfstest（4）使用命令掛載NFS共享。mount-tnfsNFS服務(wù)器的IP地址:/gongxiang/nfstest（5）修改fstab文件實(shí)現(xiàn)NFS共享永久掛載。vim/etc/fstab三、項(xiàng)目實(shí)施任務(wù)6-2查看NFS服務(wù)器信息使用showmount命令在KylinOS中查看NFS服務(wù)器上的共享資源，其格式如下。showmount[-adehv][ServerName]showmount命令常用選項(xiàng)及說明如表所示。選項(xiàng)說明-a查看服務(wù)器上的輸出目錄和所有連接客戶端信息，顯示格式為host:dir-d只顯示被客戶端使用的輸出目錄信息-e顯示服務(wù)器上所有的輸出目錄（共享資源）三、項(xiàng)目實(shí)施任務(wù)6-2查看NFS服務(wù)器信息例如，如果服務(wù)器的IP地址為，則查看該服務(wù)器上的NFS共享資源，可以執(zhí)行以下命令。[root@Client1~]#showmount-eExportlistfor:/pub*/tmp1(everyone)/tmp2/24/home/dir1Client1/Server01三、項(xiàng)目實(shí)施任務(wù)6-2查看NFS服務(wù)器信息3．在客戶端掛載NFS服務(wù)器上的共享目錄在KylinOS中掛載NFS服務(wù)器上的共享目錄的命令為mount（即可以加載其他文件系統(tǒng)的mount）。mount-tnfs服務(wù)器名稱或IP地址:輸出目錄掛載目錄【例6-3】要掛載

這臺(tái)服務(wù)器上的/tmp1目錄，需要執(zhí)行以下操作。（1）創(chuàng)建本地目錄首先在客戶端創(chuàng)建一個(gè)本地目錄，用來掛載NFS服務(wù)器上的輸出目錄。[root@Client1~]#mkdir/nfs三、項(xiàng)目實(shí)施任務(wù)6-2查看NFS服務(wù)器信息3．在客戶端掛載NFS服務(wù)器上的共享目錄（2）掛載服務(wù)器目錄再使用相應(yīng)的mount命令掛載服務(wù)器目錄。[root@Client1~]#mount-tnfs:/tmp1/nfs[root@Client1~]#ll/nfs用量0-rw-r--r--1rootroot07月2814:51f1三、項(xiàng)目實(shí)施任務(wù)6-2查看NFS服務(wù)器信息4．卸載NFS服務(wù)器上的共享目錄要卸載剛才掛載的NFS服務(wù)器上的共享目錄，可以執(zhí)行以下命令。[root@Client1~]#umount/nfs5．在客戶端啟動(dòng)時(shí)自動(dòng)掛載NFS我們知道，KylinOS下的自動(dòng)掛載文件系統(tǒng)都是在/etc/fstab中定義的，NFS也支持自動(dòng)掛載。（1）編輯fstab文件在Client1上，用vim編輯器打開/etc/fstab，在其中添加如下一行。[root@Client1~]#vim/etc/fstab:/tmp1/nfsnfsdefaults00三、項(xiàng)目實(shí)施任務(wù)6-2查看NFS服務(wù)器信息5．在客戶端啟動(dòng)時(shí)自動(dòng)掛載NFS（2）使設(shè)置生效執(zhí)行以下命令重新掛載fstab文件中定義的文件系統(tǒng)。[root@Client1~]#mount-a[root@Client1~]#ll/nfs總用量0-rw-r--r--1rootroot07月2814:51f1三、項(xiàng)目實(shí)施任務(wù)6-3了解NFS服務(wù)的文件存取權(quán)限NFS服務(wù)本身并不具備用戶身份驗(yàn)證功能，那么當(dāng)客戶端訪問時(shí)，服務(wù)器該如何識(shí)別用戶呢？主要有以下標(biāo)準(zhǔn)。1．root賬戶如果客戶端以root賬戶訪問NFS服務(wù)器資源，則基于安全方面的考慮，服務(wù)器會(huì)主動(dòng)將客戶端改成匿名用戶，所以root賬戶只能訪問服務(wù)器上的匿名資源。2．NFS服務(wù)器上有客戶端賬戶客戶端是根據(jù)UID和GID來訪問NFS服務(wù)器資源的，如果NFS服務(wù)器上有對(duì)應(yīng)的用戶名和組，就訪問與客戶端同名的資源。3．NFS服務(wù)器上沒有客戶端賬戶如果NFS服務(wù)器上沒有客戶端賬戶，則客戶端只能訪問匿名資源。三、項(xiàng)目實(shí)施企業(yè)NFS服務(wù)器實(shí)用案例下面將剖析一個(gè)企業(yè)NFS服務(wù)器的真實(shí)案例，提出解決方案，使讀者能夠?qū)η懊娴闹R(shí)有更深的理解。1．企業(yè)NFS服務(wù)器網(wǎng)絡(luò)拓?fù)淦髽I(yè)NFS服務(wù)器網(wǎng)絡(luò)拓?fù)淙鐖D6-3所示。NFS服務(wù)器Server01的IP地址是，客戶端Client1的IP地址是0，客戶端Client2的IP地址是1。其他客戶端的IP地址不再羅列。在本例中有3個(gè)域：、

和。三、項(xiàng)目實(shí)施企業(yè)NFS服務(wù)器實(shí)用案例2．企業(yè)需求（1）共享/pub1目錄，允許所有客戶端訪問該目錄且只有只讀權(quán)限。（2）共享/nfs/public目錄，允許/24和/24網(wǎng)段的客戶端訪問，并且對(duì)此目錄只有只讀權(quán)限。（3）共享/nfs/team1、/nfs/team2、/nfs/team3目錄，并且/nfs/team1只有域成員可以訪問并有讀寫權(quán)限，/nfs/team2、/nfs/team3目錄同理。（4）共享/nfs/works目錄，/24網(wǎng)段的客戶端具有只讀權(quán)限，并且將root用戶映射成匿名用戶。（5）共享/nfs/test目錄，所有人都具有讀寫權(quán)限，但是當(dāng)用戶使用該共享目錄時(shí)，都將用戶映射成匿名用戶，并且指定匿名用戶的UID和GID都為65534。（6）共享/nfs/security目錄，僅允許0客戶端訪問并具有讀寫權(quán)限。三、項(xiàng)目實(shí)施企業(yè)NFS服務(wù)器實(shí)用