第8章Samba服务器配置与安全管理

1、第第8章章 Samba服务器配置与安全服务器配置与安全管理管理8.1 Samba服务概述服务概述1Samba简介v Samba（SMB是其缩写）Samba是一套让UNIX系统能够应用Microsoft网络通讯协议的软件。如图8-1所示，Samba既可以用于Windows和Linux之间的资源共享，也一样可用于Linux/Unix网络内部的资源共享。图8-1 Samba实现跨平台的共享v Samba提供了以下四大功能： 提供Windows风格的文件和打印机共享：这是Samba的主要功能。 身份验证和授权：支持多种身份验证和权限设置模式，通过加密方式保护共享资源。通过用户登录Samba主机时做身份

2、验证，来提供不同身份者的个别数据。 支持NetBIOS名字解析及浏览：通过nmbd服务可以搭建NBNS（NetBIOS Name Service）服务器，将计算机的NetBIOS名解析为IP地址。 为客户提供网上邻居浏览服务：Samba服务器可以成为局域网中的主浏览服务器（LMB），保存可用资源列表，为客户端提供浏览列表的服务。8.1 Samba服务概述服务概述2Samba的工作原理（1）Samba工作流程步骤1：协议协商步骤2：建立连接步骤3：访问共享资源步骤4：断开连接（2）Samba相关进程Samba服务是由两个进程组成，分别是nmbd和smbd。8.1 Samba服务概述服务概述8.2

3、 案例导学案例导学实现默认的文件和打印实现默认的文件和打印共享共享8.2.1 安装安装1准备工作v 在RHEL 5中提供的与Samba服务相关的软件包有以下几个： samba-common：包含通用工具和库文件。服务器和客户端都需要安装该软件包。 samba：Samba服务的主程序包。Samba服务器端必须安装该软件包。 samba-client：连接服务器和连接网上邻居的客户端工具，并包含其测试工具。Samba客户端必须安装该软件包。 samba-swat：Samba的Web配置工具。支持通过浏览器对Samba服务器进行图形化管理。8.2 案例导学案例导学实现默认的文件和打印实现默认的文件和

4、打印共享共享2安装（1）安装Samba主程序包（2）安装Samba客户端工具（3）安装Samba通用工具和库文件（4）安装Samba图形化管理工具8.2 案例导学案例导学实现默认的文件和打印实现默认的文件和打印共享共享3了解软件包安装的文件v 用命令“rpm -ql samba”可以查询到samba软件包所生成的文件。主要有： /etc/pam.d/samba：samba用户的pam认证文件 /etc/rc.d/init.d/smb：samba服务的启动脚本 /etc/samba/smbusers：虚拟用户与samba用户的映射文件 /usr/bin/mksmbpasswd.sh：将系统帐号转

5、换为samba帐号的脚本文件 /usr/bin/smbstatus：显示samba服务器的连接状态8.2 案例导学案例导学实现默认的文件和打印实现默认的文件和打印共享共享v 用命令“rpm -ql samba-client”可以查询到samba-client软件包所生成的工具。主要有： /sbin/mount.cifs：挂载samba文件系统 /sbin/umount.cifs：卸载samba文件系统 /usr/bin/nmblookup：NetBIOS名字查询工具，类似nslookup /usr/bin/smbclient：提供访问Samba服务器的命令行实用程序。可以用于运行SMB协议的计

6、算机之间复制文件以及从SMB服务器上备份文件 /sbin/mount.cifs：将远程共享文件和目录挂载到本地，用mount命令也可以实现 /usr/bin/smbtree：显示局域网中的共享主机和目录列表8.2 案例导学案例导学实现默认的文件和打印实现默认的文件和打印共享共享v 用命令“rpm -ql samba-common”可查询到samba-common软件包生成的工具。主要有： /etc/samba：Samba服务器上用来存放配置文件的位置 /etc/samba/lmhosts：用于本地解析NetBIOS名字与对应的IP地址 /etc/samba/smb.conf：Samba服务器的

7、主配置文件 /usr/bin/smbpasswd：管理samba用户帐户和密码 /usr/bin/testparm：检查配置文件smb.conf语法的正确性 /var/log/samba：Samba服务器上用来存放Samba的日志文件的位置Samba服务器的主配置文件“/etc/samba/smb.conf”是安装软件包时自动产生的，可以在启动Samba服务器后直接使用。8.2 案例导学案例导学实现默认的文件和打印实现默认的文件和打印共享共享8.2.2 使用默认配置的使用默认配置的Samba服务器服务器1Samba主配置文件v 主配置文件文件“smb.conf”在服务器和客户机上都是需要的。按

8、结构分为两部分：一是以“Global Settings”为标识的全局设置区域，针对整个Samba服务器有效。二是以“Share Definitions”为标识的共享定义区域，只对特定的共享有效。（1）全局设置区域的配置语句（2）共享定义区域的配置语句v 共享定义区域的设置对象为每个共享目录和打印机，在方括号中设置其共享名。如果我们想发布共享资源，需要对该区域进行配置。这里可能用到的字段非常丰富，设置灵活。主配置文件:/etc/sabma/smb.conf详解详解v语法 workgtoup = ;预设 workgroup = MYGROUP说明 设定 Samba Server 的工作组例 wor

9、kgroup = workgroup 和WIN2000S设为一个组，可在网上邻居可中看到共享v语法 server string = ;预设 sarver string = Samba Server说明 设定 Samba Server 的注释其他 支持变量 t%-访问时间 I%-客户端IP m%-客户端主机名 M%-客户端域名 S%-客户端用户名例 server string = this is a Samba Server 设定出现在Windows网上邻居的 Samba Server 注释为 this is a Samba Serverv语法 hosts aoolw = ; .预设 ; hos

10、t allow = 192.168.1. 192.168.2. 127.说明 限制允许连接到 Samba Server 的机器，多个参数以空格隔开。表示方法可以为完整的IP地址，如 192.168.0.1网段，如 192.168.0.例 hosts allow = 192.168.1. 192.168.0.1 表示允许192.168.1 网段的机器 网址为192.168.0.1 的机器 连接到自己的samba serverv语法 printcap name = ;预设 printcap name = /etc/printcap说明 设定 samba srever 打印机的配置文件例 print

11、cap name = /etc/printcap 设定 samba srever 参考 /etc/printcap 档的打印机设定 v语法 printing = ;预设 printing = lprng说明 设定 samba server 打印机所使用的类型,37行为目前所支持的类型v语法 guert account = ;预设 guert account = pcguest说明 设定访问 samba server 的来宾帐户(即访问时不用输入用户名和密码的帐户),若设为pcguest的话则为默认为nobody用户例 guert account = andy 设定设定访问 samba serv

12、er 的来宾帐户以andy用户登陆,则此登陆帐户享有andy用户的所有权限v 语法 security = ;预设 security = user说明 设定访问 samba server 的安全级别 共有四种share-不需要提供用户名和密码user-需要提供用户名和密码,而且身份验证由 samba server 负责server-需要提供用户名和密码,可指定其他机器(winNT/2000/XP)或另一台 samba server作身份验证domain-需要提供用户名和密码,指定winNT/2000/XP域服务器作身份验证v 语法 password server = ;预设 password s

13、erver = ;说明 指定某台服务器(包括windows 和 linux)的密码,作为用户登入时验证的密码其他 此项需配合 security = server时,才可设定本参数 v65行username level 语法 password level = ;username level = ;预设 password level = 8username level = 8说明 设定用户名和密码的位数,预设为8位字符v语法 encrypt passwords = ;预设 encrypt passwords = yse说明 设定是否对samba的密码加密v语法 smb passwd file =

14、;预设 smb passwd file = /etc/samba/smbpasswd说明 设定samba的密码文件v 语法 local master = ;预设 local master = no说明 设定 samba server 是否要担当LMB角色(LMB负责收集本地网络的Browse List资源),通常无特殊原因设为nov 语法 os level = ;预设 os level = 33说明 设定 samba server的os level. os level从 0 到 255 . winNT的os level为33, win95/98的os level 是 1 . 若要拿samba

15、server 当LMB或DMB则它的os level至少要大于NT的33以上v 语法 domain master = ;预设 domain master = yes说明 设定 samba server 是否要担当DMB角色(DMB会负责收集其他子网的Browse List资源),通常无特殊原因设为nov 语法 preferred master = ;预设 preferred master = yes说明 设定 samba server 是否要担当PDC角色(PDC会负责追踪网络帐户进行的一切变更),通常无特殊原因设为no.(同一网段内不可有两个PDC,他们会每5分钟抢主控权一次)v 语法 wi

16、ns support = ;预设 wins support = yes说明 设定samba server 是否想网络提供WINS服务,通常无特殊原因设为no.除非所处网络上没有主机提供WINS服务且需要此台samba server提供WINS服务是才设yes其他 wins support 和 wins server 只能选择一个v 语法 wins server = ;预设 wins server = w.x.y.z说明 设定samba server 是否要使用别台主机提供的WINS服务.通常无特殊原因设为no.除非所处网络上有一台主机提供WINS服务才要设yes其他 wins support

17、和 wins server例 wins server = 192.168.0.1 表示samba server要使用192.168.0.1提供的WINS服务 = Share Definitions = vhomescomment = Home Directoriesbrowseable = nowritable = yesvalid users = %S使用者本身的家目录，当使用者以samba使用者身份登入samba server 后，samba server 底下会看到自己的家目录，目录名称是使用者自己的帐号v 要提供分享资源时，须先把欲分享的资源以 符号括住，底下通常会带指令和参数来表示此

18、资源的设定和存取权限等,详情如下comment-注释说明path-分享资源的完整路径名称，除了路径要正确外，目录的权限也要设对browseable-是yes/否no在浏览资源中显示共享目录，若为否则必须指定共享路径才能存取printable-是yes/否no允许打印hide dot ftles-是yes/否no隐藏隐藏文件public-是yes/否no公开共享，若为否则进行身份验证(只有当security = share 时此项才起作用)guest ok-是yes/否no公开共享，若为否则进行身份验证(只有当security = share 时此项才起作用)read only-是yes/否no

19、以只读方式共享当与writable发生冲突时也writable为准writable-是yes/否no不以只读方式共享当与read only发生冲突时，无视read onlyvaild users-设定只有此名单内的用户才能访问共享资源(拒绝优先)(用户名/组名) v invalid users-设定只有此名单内的用户不能访问共享资源(拒绝优先)(用户名/组名)read list-设定此名单内的成员为只读(用户名/组名)write list-若设定为只读时，则只有此设定的名单内的成员才可作写入动作(用户名/组名)create mask-建立文件时所给的权限directory mask-建立目录时

20、所给的权限force group-指定存取资源时须以此设定的群组使用者进入才能存取(用户名/组名)force user-指定存取资源时须以此设定的使用者进入才能存取(用户名/组名)allow hosts-设定只有此网段/IP的用户才能访问共享资源allwo hosts = 网段 except IPdeny hosts-设定只有此网段/IP的用户不能访问共享资源allow hosts=本网段指定IP指定IPdeny hosts=指定IP本网段指定IP v语法 log file = ;预设 log file = /var/log/samba/%m.log说明 设定 samba server 日志文

21、件的储存位置和文件名(%m代表客户端主机名)v语法 max log size = ;预设 max log size = 0说明 设定日子文件的最大容量,单位KB 这里的预设值0代表不做限制8.2 案例导学案例导学实现默认的文件和打印实现默认的文件和打印共享共享2Samba日志文件v 日志文件存储着客户端访问samba服务器的信息，以及samba服务的错误提示信息等。可以通过分析日志，帮助解决客户端访问和服务器维护等问题。v 主配置文件中通过“log file”指定了samba服务的日志文件默认存放在“/var/log/samba/”目录下，启用该语句后，samba服务器会为每台成功连接的客户机

22、分别建立一个日志文件。v 当samba服务器刚刚建立好后，只有两个初始的日志文件，分别是nmbd.log和smbd.log。8.2 案例导学案例导学实现默认的文件和打印实现默认的文件和打印共享共享3Samba账号文件v Samba服务器中的用户帐号应该是具有与其同名的Linux系统用户帐号，但Samba用户的密码和同名系统用户的密码是相互独立的，需要分别进行维护和更改。v smbpasswd命令用于维护Samba服务器的用户帐号，它有以下几种用法：# smbpasswd a sambauser/添加Samba用户帐号# smbpasswd d sambauser/ 禁用Samba用户帐号# s

23、mbpasswd e sambauser/ 启用Samba用户帐号# smbpasswd x sambauser/ 删除Samba用户帐号最后查看文件smbpasswd的内容，检查是否已正确添加了Samba账号。8.2 案例导学案例导学实现默认的文件和打印实现默认的文件和打印共享共享8.2.3 应用测试应用测试1启动Samba服务2从Windows客户端访问Samba服务器（1）通过网上邻居访问。（2）使用UNC路径访问3从Linux客户端访问Samba服务器（1）确认已安装samba客户端软件包（2）访问Samba服务器上的共享资源（3）smbstatus（4）挂载samba文件系统到本地使

24、用8.3 课堂练习课堂练习架设基本的文件服务器架设基本的文件服务器1任务及分析v 任务情境：公司要在工作组company中添加一台samba服务器作为文件服务器。把需要公开的信息发布在一个名为public的共享目录“/share”中。为实现集中管理，还要为公司各部门建立相应的目录。比如销售部的资料存放在samba服务器的“/cmpdata/sales/”目录下，要求只允许销售部员工和总经理访问，并且只允许销售部经理对数据进行维护。v 任务分析：该案例涵盖了samba的基本配置。首先分析共享目录“/share”，允许所有人访问意味着要为每个来访者建立一个samba帐号，如果设置语句“security = share”，就能允许所有人采用匿名账号nobody进行访问，简化了设置。然而在samba服务器上还存在各部门存放重要数据的目录，为了保证各部门数据的私密性，我们还必须对登录的用户进行筛选，允许或禁止相应的用户访问指定的目录，并且为不同的用户授予不同的访问权限。8.3 课堂练习课堂练习架设基本的文件服务器架设基本的文件服务器2配置方案和过程（1）建立一些测试用的账号并添加相应的samba帐号（2）建立测试用的目录并