售后服务S服务攻略建设指南

1、售后服务 S 服务攻略建设指南Samba 服务攻略建设指南1 安装 Samba 服务1.1 Samba 所需软件samba-*.rpm：该包为 Samba 服务的主程序包。服务器必须安装该软件包，后面的数字为版本号samba-client-*.rpm：该包为 Samba 的客户端工具，是连接服务器和连接网上邻居的客户端工具并包含其测试工具samba-common-*.rpm：该包存放的是通用的工具和库文件，无论是服务器还是客户端都需要安装该软件包samba-swat-*.rpm：当安装了这个包以后，就可以通过浏览器（比如 IE 等哈）来对 Samba服务器进行图形化管理1.2 Samba 的安

2、装建议在安装 Samba 服务之前，使用 rpm -qa 命令检测系统是否安装了 Samba 相关性软件包： rpm -qa |grep samba如果系统还没有安装 Samba 软件包，我们可以使用 rpm 命令安装所需软件包。安装 Samba 主程序包：rpm -ivh samba-*.rpm安装 Samba 客户端工具：rpm -ivh samba-client-*.rpm安装 Samba 通用工具和库文件：rpm -ivh samba-common-*.rpm现在我们再来安装 Samba 图形化管理工具：rpm -ivh samba-swat-*.rpm现在我们看到 Samba 图形化

3、管理工具安装成功了哈所有软件包安装完毕之后，我们可以使用 rpm 命令进行查询：rpm -qa | grep samba2 Samba 常规服务器配置在 Samba 服务安装完毕之后，并不是直接可以使用 Windows 或 Linux 的客户端访问 Samba 服务器哈，我们还必须对服务器进行设置，下面需要做的操作就是说我们要告诉 Samba 服务器将哪些目录共享出来给客户端进行访问，并根据需要设置其他选项哈，比如添加对共享目录内容的简单描述信息和访问权限等具体设置。作为我们 Linux 系统工程师了解及熟悉 Samba 服务器的搭建流程是至关重要滴。基本的 Sam ba 服务器的搭建流程主要

4、分为四个步骤：1、编辑主配置文件 smb.conf,指定需要共享的目录，并为共享目录设置共享权限。 2、在 smb.conf 文件中指定日志文件名称和存放路径。3、设置共享目录的本地系统权限。4、重新加载配置文件或重新启动 smb 服务，使用配置生效为了更好地理解设定流程中每一步的作用，下面通过一个图例进行讲解Samba 工作流程：-(1)->-(2) >smb.conf 主配置文件客户端Samba 服务器- (4)->-(3) >日志文件(1)客户端请求访问 Samba 服务器上的 Share 共享目录。(2) Samba 服务器接收到请求后，会查询主配置文件 smb

5、.conf，看是否共享了 Share 目录，如果共享了这个目录则查看客户端是否有权限访问。(3)Samba 服务器会将本次访问信息记录在日志文件之中，日志文件的名称和路径都是需要我们设置。(4)如果客户端满足访问权限设置，则允许客户端进行访问。对于 Samba 服务器来说，其主配置文件 smb.conf 记录了共享的目录列表。比如 share 目录， temp 目录等。对于每个共享目录，需要配置相应权限，服务器会根据 smb.conf 文件中的设置，判断客户端是否有权限访问，只有拥有权限才可以访问服务器的资源。Samba 服务器同样会对用户的行为进行记录，每一次访问的信息都会记录在日志文件中，

6、以便我们 Linux 管理员查询哪些客户端访问过 Samba 服务器。2.1 主要配置文件 smb.confSamba 的配置文件一般就放在/etc/samba 目录中，主配置文件名为 smb.conf。打开文件：vim/etc/samba/smb.conf1、samba 配置简介smb.conf 文件的开头部分为 samba 配置简介，告诉我们 smb.conf 文件的作用及相关信息。 smb.conf 中以“#”开头的为注释，为用户提供相关的配置解释信息，方便用户参考，不用修改它哈。smb.conf 中还有以“;”开头滴，这些都是 samba 配置的格式范例，默认是不生效滴，可以通过去掉前

7、面的“;”并加以修改来设置想使用的功能。2、Global SettingsGlobal Settings 设置为全局变量区域。全局变量就是说我们只要在 global 时进行设置，那么该设置项目就是针对所有共享资源生效滴，该部分以global开始.smb.conf 配置通用格式，对相应功能进行设置：字段=设定值下面我们说下global常用字段及设置方法：1）设置工作组或域名称工作组是网络中地位平等的一组计算机，可以通过设置 workgroup 字段来对 samba 服务器所在工作组或域名进行设置。我们设置 samba 服务器的工作组为 WorkGroup2）服务器描述服务器描述实际上类似于备注信

8、息哈，在一个工作组中，可能存在多台服务器，为了方便用户浏览，我们可以在 server string 配置相应描述信息，这样用户就可以通过描述信息知道自己要登录哪台服务器了啊我们设置 samba 描述信息为“CentOs File Server”。3）设置 samba 服务器安全模式samba 服务器有 share、user、server、domain 和 ads 五种安全模式，用来适应不同的企业服务器需求。（1）share 安全级别模式客户端登录 samba 服务器，不需要输入用户名和密码就可以浏览 samba 服务器的资源，适用于公共的共享资源，安全性差，需要配合其他权限设置，保证 samb

9、a 服务器的安全性。（2）user 安全级别模式客户端登录 samba 服务器，需要提交合法帐号和密码，经过服务器验证才可以访问共享资源，服务器默认为此级别模式。（3）server 安全级别模式客户端需要将用户名和密码，提交到指定的一台 samba 服务器上进行验证，如果验证出现错误，客户端会用 user 级别访问。（4）domain 安全级别模式如果 samba 服务器加入 windows 域环境中，验证工作服将由 windows 域控制器负责，domain级别的 samba 服务器只是成为域的成员客户端，并不具备服务器的特性，samba 早期的版本就是使用此级别登录 windows 域滴。

10、（5）ads 安全级别模式当 samba 服务器使用 ads 安全级别加入到 windows 域环境中，其就具备了 domain 安全级别模式中所有的功能并可以具备域控制器的功能。3、Share Definitions 共享服务的定义Share Definitions 设置对象为共享目录和打印机，如果我们想发布共享资源，需要对 Share Definitions 部分进行配置。Share Definitions 字段非常丰富，设置灵活。我们先来讲下几个最常用的字段哈1）设置共享名共享资源发布后，必须为每个共享目录或打印机设置不同的共享名，给网络用户访问时使用，并且共享名可以与原目录名不同。共享

11、名设置非常简单：共享名我们来看个例子，Samba 服务器中有个目录为/share，需要发布该目录成为共享目录，定义共享名为 public2）共享资源描述网络中存在各种共享资源，为了方便用户识别，可以为其添加备注信息，以方便用户查看时知道共享资源的内容是什么。格式：comment = 备注信息举个例子哈,samba 服务器上有个/sales 目录存放公司销售部的数据，为了对公司部门员工进行区分，可以添加备注信息。3）共享路径共享资源的原始完整路径，可以使用 path 字段进行发布，务必正确指定。格式：path =绝对地址路径samba 服务器上/share/tools 目录存放常用工具软件，需要

12、发布该目录为共享，我们可以这样做。4）设置匿名访问共享资源如果对匿名访问进行设置，可以更改 public 字段。格式：public = yes#允许匿名访问public = no#禁止匿名访问samba 服务器/share 共享目录允许匿名用户访问，可以这样设置。5）设置访问用户如果共享资源存在重要数据的话，需要对访问用户审核，我们可以使用 valid users 字段进行设置。格式：valid users = 用户名valid users = 组名我们来看下面一个例子哈，samba 服务器/share/tech 目录存放了公司技术部数据，只允许技术部员工和经理访问，技术部组为 tech,经理

13、帐号为 gm6）设置目录只读共享目录如果限制用户的读写操作，我们可以通过 readonly 实现哈格式：readonly = yes#只读 readonly = no#读写samba 服务器公共目录/public 存放大量共享数据，为保证目录安全我们只允许读取，禁止写入7）设置目录可写如果共享目录允许用户写操作，可以使用 writable 或 write list 两个字段进行设置 writable 格式：writable = yes#读写writable = no#只读write list 格式： write list = 用户名 write list = 组名注意：homes为特殊共享目录

14、，表示用户主目录。 printers表示共享打印机。2.2 Samba 服务日志文件日志文件对于 samba 非常滴重要哈，它存储着客户端访问 samba 服务器的信息，以及 samba服务的错误提示信息等，可以通过分析日志，帮助解决客户端访问和服务器维护等问题。在/etc/samba/smb.conf 文件中，log file 为设置 samba 日志的字段。samba 服务的日志文件默认存放在/var/log/samba/中，其中 samba 会为每个连接到 samba服务器的计算机分别建立日志文件。我们启动 smb 服务：/etc/rc.d/init.d/smb start使用 ls -

15、a 命令可以查看日志的所有文件。其中，当 samba 服务器刚刚建立好后，只有两个文件，分别是 nmbd.log 和 smbd.log，它们分别记录 nmbd 和 smbd 进程的运行日志。nmbd.log 记录 nmbd 进程的解析信息。smbd.log 记录用户访问 samba 服务器的问题，以及服务器本身的错误信息，可以通过该文件获得大部分的 samba 维护信息。当客户端通过网络访问 samba 服务器后，会自动添加客户端的相关日志。2.3 Samba 服务密码文件samba 服务器发布共享资源后，客户端访问 samba 服务器，需要提交用户名和密码进行身份验证，验证合格后才可以登录。

16、samba 服务为了实现客户身份验证功能，将用户名和密码信息存放在/etc/samba/smbpasswd 中，在客户端访问时，将用户提交资料与 smbpasswd 存放的信息进行比对，如果相同，并且 samba 服务器其他安全设置允许，客户端与 samba 服务器连接才能建立成功那如何建立 samba 帐号呢？偶在说之前先强调一点哈，samba 帐号并不能直接建立滴，需要先建立 Linux 同名的系统帐号。比如如果我们要建立一个名为 michael 的 samba 帐号，那 Linux系统中必须提前存在一个同名的 michael 系统帐号。samba 中添加帐号命令为 smbpasswd，命

17、令格式:smbpasswd -a 用户名我们来测试下，在 samba 服务器中添加 samba 帐号 redking,我们建立 samba 帐号之前必须先添加相对应的系统帐号，使用 useradd 命令建立帐号 redking，然后执行 passwd 命令为帐号 re dking 设置密码哈最后我们添加 redking 用户的 samba 帐号，执行 smbpasswd 添加帐号 redking到 samba 配置文件中。OK，Samba 帐号添加完毕哈，如果我们在添加 samba 帐号时输入完两次密码出错：Failed to modify password entry for user am

18、y，就像下面这样这是因为 Linux 本地用户里没有 amy 这个用户，我们在系统里面添加一下就 OK 了 务必要注意在建立 samba 帐号之前，一定要先建立一个与 samba 帐号同名的系统帐号。我们经过上面的设置，再次访问 samba 共享文件时就可以使用 redking 或 amy 帐号访问了。注意：解决/etc/samba 目录下没有 smbpasswd 文件原因：samba 启用了 tdbsam 验证。解决：smb.conf 文件中注释掉 passdb backend = tdbsam 一行，加上 smb passwd file = /etc/ samba/smbpasswd，然后

19、保存退出。这样再建立用户就产生了/etc/samba/smbpasswd 文件了。使用 cat 命令查看 smbpasswd 文件滴内容哈：cat /etc/samba/smbpasswd2.4 Samba 的启动与停止1）samba 服务的启动service smb start 或 /etc/rc.d/init.d/smb start2）samba 服务的停止service smb stop 或 /etc/rc.d/init.d/smb stop3）samba 服务的重启service smb restart 或 /etc/rc.d/init.d/smb restart4）samba 服务配

20、置重新加载service smb reload 或 /etc/rc.d/init.d/smb reload注意：Linux 服务中，当我们更改配置文件后，一定要记得重启服务哈，让服务重新加载配置文件，这样新的配置才可以生效哈5）自动加载 samba 服务chkconfig我们可以使用 chkconfig 命令自动加载 smb 服务:chkconfig -level 3 smb on#运行级别 3 自动加载chkconfig -level 3 smb off#运行级别 3 不自动加载3 举例3.1 share 服务器实例及详解上面已经对 samba 的相关性配置文件讲了个大概哈，现在我们通过实例

21、来掌握一下 samba 具体使用流程来搭建 samba 服务器。如果公司现在用一个工作组 Workgroup 需要添加 samba 服务器作为文件服务器哈，并发布共享目录/share，共享名为 public,这个共享目录允许所有公司员工访问。我们分析下哈，这个案例属于 samba 的基本配置，我们可以实用 share 安全级别模式，既然允许所有员工访问，则需要为每个用户建立一个 samba 帐号，那么如果公司拥有大量用户呢？100 0 个用户，100000 个用户，一个个设置会非常滴麻烦哈，我们可以通过配置 security = share来让所有用户登录时采用匿名帐户 nobody 访问，这

22、样实现起来非常简单1） 修改 samba 主配置文件 smb.confvim /etc/samba/smb.conf(1).设置 samba 服务器工作组名为 Workgroup (2).添加 samba 服务器注释信息为"File Server"(3).设置 samba 安全级别为 share 模式，允许用户匿名访问#= Global Settings =global#Netwrok Related Options# workgroup = NT-Domain-Name or Workgroup-Name, eg: MIDEARTH # server string is

23、the equivalent of the NT De.ion field # netbios name can be used to specify a server name not tied to the hostname # Interfaces lets you configure Samba to use multiple interfaces# If you have multiple network interfaces then you can list the .es # you want to listen . (never omit localhost)# Hosts

24、Allow/Hosts Deny lets you restrict who can connect, and you can # specifiy it as a per share option as well#Server"workgroup = Workgroup#设置 samba 服务器工作组名为 Workgroup server string = File Server#添加 samba 服务器注释信息为"File;netbios name = MYSERVER;interfaces = lo eth0 /24 /

25、24;hosts allow = 127. 192.168.12. 192.168.13.#Logging Options# Log File let you specify where to put logs and how to split them up. # Max Log Size let you specify the max size log files should reach # logs split per machine;log file = /var/log/samba/%m.log# max 50KB per log file, then rotate;max log

26、 size = 50#Standalone Server Options # Scurity can be set to user, share(deprecated) or server(deprecated) # Backend to store user information in. New installations should# use either tdbsam or ldapsam. smbpasswd is available for backwards # compatibility. tdbsam requires no further configuration.se

27、curity = share#设置 samba 安全级别为 share 模式，允许用户匿名访问;passdb backend = tdbsamsmb passwd file = /etc/samba/smbpasswd#Domain Members Options# Security must be set to domain or ads # Use the realm option .ly with security = ads# Specifies the Active Directory realm the host is part of # Backend to store user

28、 information in. New installations should# use either tdbsam or ldapsam. smbpasswd is available for backwards # compatibility. tdbsam requires no further configuration.#(4).设置共享目录的共享名为 public (5).设置共享目录的绝对路径为/share (6).最后我们设置允许匿名访问哈设置完 smb.conf 后保存退出哈2）重新加载配置上面我们说过哈，Linux 为了使新配置生效，需要重新加载配置，可以使用 rest

29、art 重新启动服务或者使用 reload 重新加载配置哈注意哈：偶这里强调一下细节，重启 samba 服务，虽然可以让配置生效，但是 restart 是先关闭 samba 服务，再开启服务哈，这样如果在公司网络运营中肯定会对客户端员工的访问造成影响，建议使用 reload 命令重新加载配置文件使其生效，这样不需要中断服务就可以重新加载配置哈samba 服务器通过以上设置，现在用户就可以不需要输入帐号和密码就可以直接登录 samba 服务器并访问 public 共享目录我们测试下，在/share 目录下建个文件试下：touch /share/test_sharemode_samba.tar我们

30、看下效果3.2 user 服务器实例及详解上面的案例我们讲了 share 安全级别模式的 samba 服务器哈，可以实现用户方便滴通过匿名方式访问，但是如果在我们 samba 服务器上存在重要文件的目录，为了保证系统安全性及资料保密性哈，我们就必须对用户进行筛选，允许或禁止相应的用户访问指定滴目录哈，这里 share 安全级别模式就不能满足我们这样的实际要求了。实现用户身份验证的方法很多，我们可以将安全级别模式配置为 user、server、domain 和 ads，但是最常用的还是 user 安全级别模式哈，下面偶就来看下 user 这个安全级别模式的配置如果公司有多个部门，因工作需要，我们

31、就会分门别类的建立相应部门的目录，并将销售部的资料存放在 samba 服务器的/companydata/sales/目录下,集中管理，以便销售人员浏览，并且该目录只允许销售部员工访问。我们分析下，在/companydata/sales/目录中存放有销售部的重要数据，为了保证其他部门无法查看其内容，我们需要将全局配置中 security 设置为 user 安全级别，这样就启用了 samba服务器的身份验证机制，然后在共享目录/companydata/sales 下设置 valid users 字段，配置只允许销售部员工能够访问这个共享目录。1）添加销售部用户和组并添加相应 samba 帐号使用

32、groupadd 命令添加 sales 组，然后执行 useradd 命令和 passwd 命令添加销售部员工的帐号及密码接下来为销售部成员添加相应 samba 帐号2）修改 samba 主配置文件 smb.conf(1).设置 user 安全级别模式(2).设置销售部共享目录为 sales(3).指定共享目录为绝对路径为/companydata/sales (4).设置可以访问的用户为 sales 组成员3）重新加载配置上个案例讲过了哈，要让修改后的 Linux 配置文件生效，我们就要重新加载配置。#service smb reload现在我们测试下输入销售部的帐号及密码进行登录打开 sal

33、es 共享目录这样销售部成员就可以进行访问 sales 共享目录下的数据了4 Samba 高级服务器配置上面偶说了下 samba 滴常规配置哈，这些已经可以使用企业内部滴资料通过网络共享并分配适当滴共享权限来管理共享目录，但这仅仅对于很多大型企业或安全要求高滴来说还是不能满足其需求哈，所以偶下面就来讲下 samba 滴高级服务器配置让我们搭建滴 samba 服务器功能更强大，管理更灵活，我们滴数据也更安全4.1 用户账号映射前面已经说过，samba 的用户帐号信息是保存在 smbpasswd 文件中滴，而且可以访问 samba 服务器的帐号也必须对应一个同名的系统帐号。基于这一点，所以哈，对于

34、一些 hacker 来说，只要知道 samba 服务器滴 samba 帐号，就等于是知道了 Linux 系统帐号，只要 crack 其 samba 帐号密码加以利用就可以攻击 samba 服务器哈。所以我们要使用用户帐号映射这个功能来解决这个问题用户帐号映射这个功能需要建立一个帐号映射关系表，里面记录了 samba 帐号和虚拟帐号的对应关系，客户端访问 samba 服务器时就使用虚拟来登录。1）编辑主配置文件/etc/samba/smb.conf在 global 下添加一行字段 username map = /etc/samba/smbusers 开启用户帐号映射功能。2）编辑/etc/sam

35、ba/smbuserssmbusers 文件保存帐号映射关系，其有固定滴格式：samba 帐号 = 虚拟帐号（映射帐号）帐号 redking 就是我们上面建立的 samba 帐号（同时也是 Linux 系统帐号），51cto 及 51blog就是映射滴帐号名（虚拟帐号），帐号 redking 在我们访问共享目录时只要输入 51cto 或 51blog就可以成功访问了，但是实际上访问 samba 服务器的还是我们滴 redking 帐号，这样一来就解决了安全问题哈我们继续。3）重启 samba 服务：service smb restart4）验证效果输入我们定义的映射帐号 51cto，注意我们没

36、有输入帐号 redking 哈，映射帐号 51cto 滴密码和 redking 帐号一样哈现在就可以通过映射帐号浏览共享目录了注意：强烈建议不要将 samba 用户的密码与本地系统用户的密码设置成一样哈，可以避免非法用户使用 samba 帐号登录系统非法破坏哈4.2 客户端访问控制对于 samba 服务器的安全性，我们已经说过可以使用 valid users 字段去实现用户访问控制，但是如果企业庞大，存在大量用户的话，这种方法操作起来就显得比较麻烦哈比如 samba 服务器共享出一个目录来访问，但是要禁止某个 IP 子网或某个域的客户端访问此资源，这样滴情况使用 valid users 字段就

37、无法实现客户端访问控制。下面我们就讲下使用 hosts allow 和 hosts deny 两个字段来实现该功能。而用好这两个字段滴关键在于熟悉和清楚它们的使用方法和作用范围哈hosts allow 和 hosts deny 的使用方法1）hosts allow 和 hosts deny 字段的使用 hosts allow 字段定义允许访问的客户端 hosts deny 字段定义禁止访问的客户端 2）使用 IP 地址进行限制比如公司内部 samba 服务器上共享了一个目录 sales，这个目录是存放销售部的共享目录，公司规定 /24 这个网段的 IP 地址禁止访问此 s

38、ales 共享目录，但是其中 4这个 IP 地址可以访问。先将安全级别模式由 user 改为 share这里我们添加 hosts deny 和 hosts allow 字段hosts deny = 192.168.0. 表示禁止所有来自 /24 网段的 IP 地址访问hosts allow = 4 表示允许 4 这个 IP 地址访问当 host deny 和 hosts allow 字段同时出现并定义滴内容相互冲突时，hosts allow 优先。现在设置的意思就是禁止 C 类地址 /

39、24 网段主机访问，但是允许 4 主机访问。测试下效果，如果是 4 的客户端就可以正常访问如果是其他客户端滴话就是这样的效果如果想同时禁止多个网段滴 IP 地址访问此服务器可以这样设置hosts deny = 192.168.1. 172.16. 表示拒绝所有 网段和 网段的 IP地址访问 sales 这个共享目录。hosts allow = 10. 表示允许 网段的 IP 地址访问 sales 这个共享目录。注意：当需要输入多个网段 IP 地址的时候，需要使用“空格”符号隔开。3）使用

40、域名进行限制我们来看这样一个例子哈，公司 samba 服务器上共享了一个目录 public，公司规定 域和.net 域的客户端不能访问，并且主机名为 free 的客户端也不能访问。hosts deny = .net free 表示禁止 域和.net 域及主机名为 free 的客户端访问 public 这个共享目录。注意：域名和域名之间或域名和主机名之间需要使用“空格”符号隔开。4）使用通配符进行访问控制samba 服务器共享了一个目录 security，规定所有人不允许访问，只有主机名为 boss 的客户端才可以访问。对于这样一个实例哈，我们就可以通过使用通配符的方式来简化配置。hosts d

41、eny = All 表示所有客户端，并不是说允许主机名为 ALL 的客户端可以访问哈常用的通配符还有“*”，“？”，“LOCAL”等。还有一种比较有意思的情况，如果我们规定所有人不能访问 security 目录，只允许 网段的 IP 地址可以访问，但是 00 及 8 的主机是要禁止访问滴。我们可以使用 hosts deny 禁止所有用户访问，再设置 hosts allow 允许 网段主机，但当 hos ts deny 和 hosts allow 同时出现而且冲突滴时候，hosts allow 生效，如果这

42、样滴话，那么允许 网段的 IP 地址可以访问，但是 00 及 8 的主机禁止访问就无法生效了哈我们可以使用 EXCEPT 进行设置。hosts allow = 192.168.0. EXCEPT 00 8 表示允许 网段 IP地址访问，但是 00 和 8 除外哈hosts allow 和 hosts deny 的作用范围hosts allow 和 hosts deny 设置在不同的位置上，它们的作用范围是不一样滴。如

43、果设置在glob al里面，表示对 samba 服务器全局生效哈，如果设置在目录下面，则表只对这个目录生效。这样设置表示只有 8 才可以访问 samba 服务器，全局生效哈这样设置就表示只对单一目录 security 生效，只有 8 才可以访问 security 目录里面的资料。4.3 设置 Samba 的权限到这里我们已经可以对客户端访问进行有效的控制，但是对于能访问的客户端来说，我们还是不能灵活方便滴控制他们访问共享资源的权限，比如 boss 或 gm 这样的帐号可以对某个共享目录具有完全控制权限，其他帐号只有只读权限哈，这样的情况我们就可以使用

44、 write list 字段来实现哈例如公司 samba 服务器上有个共享目录 tech，公司规定只有 boss 帐号和 tech 组的帐号可以完 全控制，其他人只有只读权限。如果只用 writable 字段则无法满足这个实例的要求，因为当 writ able = yes 时，表示所有人都可以写入了哈，而当 writable = no 时表示所有人都不可以写入。这时我们就需要用到 write list 字段哈write list = boss,tech 就表示只有 boss 帐号和 tech 组成员才可以对 tech 共享目录有写入权限哈（其中tech 就表示 tech 组）。我们来看下 wr

45、itable 和 write list 之间的区别：字段值描述writable yes所有帐号都允许写入writable no所有帐号都禁止写入write list写入权限帐号列表列表中的帐号允许写入4.4 Samba 的隐藏共享我们还可以使用 browseable 字段实现隐藏共享的功能哈比如我们要把 samba 上的技术部共享目录隐藏，我们可以这样设置。browseable = no 表示隐藏该目录现在就看不到 tech 共享目录了哈如果我们直接输入88tech 就可以访问了哈在有些特殊的情况下，browseable 也无法满足企业的需求，比如，samba 服务器上有

46、个 security目录，此目录只有 boss 用户可以浏览访问，其他人都不可以访问。因为 samba 的主配置文件只有一个，所有帐号访问都要遵守该配置文件的规则，如果隐藏了该目录，那么所有人就都看不到该目录了，就像上面演示的一样，要知道共享目录名称后输入88tech 才可以访问技术部资料。如果这样滴目录一多滴话，不可以叫 boss 去记那么多目录名称哈，那样还不被 bos s 骂死哈_问题出在 samba 服务的主配置文件只有一个，而 smb.conf 没有提供字段允许部分人可以浏览隐藏目录的功能。那我们可以换个角度哈，既然单一滴配置文件无法实现要求，那么我们可以为不同

47、需求的用户或组分别建立相应的配置文件并单独配置后实现其隐藏目录的功能哈，现在我们为 boss 帐号建立一个配置文件，并且让其访问的时候能够读取这个单独的配置文件。（1）建立独立滴配置文件哈先为 boss 帐号创建一个单独的配置文件，我们可以直接复制/etc/samba/smb.conf 这个文件并改名就可以了，如果为单个用户建立配置文件，命名时一定要包含用户名哈。我们使用 cp 命令复制主配置文件，为 boss 帐号建立独立的配置文件。（2）编辑 smb.conf 主配置文件哈在global中加入 config file = /etc/samba/smb.conf.%U，表示 samba 服务

48、器读取/etc/samba/smb.conf.%U 文件，其中%U 代表当前登录用户。命名规范与独立配置文件匹配哈（3）编辑 smb.conf.boss 独立配置文件编辑 boss 帐号的独立配置文件 smb.conf.boss，将 tech 目录里面的 browseable = no 删除，这样当 boss 帐号访问 samba 时，tech 共享目录对 boss 帐号访问就是可见滴，这样主配置文件 smb.conf 和 boss 帐号的独立配置文件相搭配就有实现其他用户访问时 tech 共享目录是隐藏滴，而 boss 帐号访问时就是可见滴。（4）重新启动 samba 服务：service

49、smb restart（5）测试效果哈现在我们以普通用户 redking 帐号登录 samba 服务器发现以 redking 帐号登录 samba 看不到 tech 共享目录哈证明 tech 共享目录对除 boss 帐号以外的人是隐藏共享滴。现在我们以 boss 帐号登录来看看哈我们发现以 boss 帐号登录之后，tech 共享目录自动显示了哈这样以独立配置文件的方法来实现隐藏共享对不同帐号的可见性非常方便哈注意：目录隐藏了并不是说不共享了，只要知道共享名，并且有相应权限，还是可以访问滴，就像上面演示的一样，可以输入“IP 地址共享名”的方法就可以访问隐藏共享了。5 Samba 客户端配置5.

50、1 Linux 客户端访问 Samba 共享linux 客户端访问服务器主要有两种方法1）使用 smbclient 命令在 Linux 中，samba 客户端使用 smbclint 这个程序来访问 samba 服务器时，先要确保客户端已经安装了 samba-client 这个 rpm 包。smbclient 可以列出目标主机共享目录列表smbclient 命令格式：smbclient -L 目标 IP 地址或主机名 -U 登录用户名%密码当我们查看 rhel5(88)主机的共享目录列表时，提示输入密码，这时候可以不输入密码哈，我们直接按回车，这样表示匿名登录，然后就会显示

51、匿名用户可以看到的共享目录列表了哈smbclient -L rhel5 或者 smbclient -L 88如果想使用 samba 帐号相看 samba 服务器端共享了什么目录，我们可以加上-U 参数哈，后面跟上用户名%密码。smbclient -L 88 -U boss%boss这样就显示了只有 boss 帐号才显示的 tech 技术部共享目录。注意：不同用户使用 smblient 浏览的结果可能是不一样滴，这要根据服务器设置的访问控制权限而定哈我们还可以在使用 smbclient 命令行共享访问模式浏览共享的资料哈 smbclient 命令行共享

52、访问模式命令格式：smbclient /目标 IP 地址或主机名/共享目录 -U 用户名%密码上面已经显示了服务器上有一个 tech 共享目录，我们来查看一下里面的内容哈另外 smbclient 登录 samba 服务器后，我们可以使用 help 查询所支持的命令。2）使用 mount 命令挂载共享目录mount 命令挂载共享目录格式：mount -t cifs /目标 IP 地址或主机名/共享目录名称 挂载点 -o username=用户名 rootclient # mount -t cifs /88/tech /mnt/sambadata/ -o username=b

53、os s%boss这表示挂载 88 主机上的共享目录 tech 到/mnt/sambadata 目录下，cifs 就是 samba所使用的文件系统哈5.2 Windows 客户端访问 Samba 共享这个就比较简单了哈，我们也一直用这个访问微软的共享目录哈，上面其他也已经讲过了哈，方法就是在开始运行里面使用 UNC 路径直接进行访问哈也可以到网上邻居里面找，但是偶不太喜欢用这个方法，因为速度太慢哈。还是觉得在开始-运行或是直接在资源管理器或 IE 的地址栏里面输入 UNC 路径比较快哈1）在开始-运行里面使用 UNC 路径直接进行访问2）映射网络驱动器访问 samba 服

54、务器共享目录输入 tech 共享目录的地址输入可以访问 tech 共享目录的 samba 帐号和密码这时在我的电脑的网络驱动器中就可以看到映射的 Z 盘了哈打开 Z 盘就可以访问 tech 共享目录里面的资源。6 Samba 的打印共享默认情况下，samba 的打印服务是开放滴所以我们只要把打印机安装好后客户端的用户就可以使用打印机了。1）设置 global 配置项修改 smb.conf 全局配置，开启打印共享功能2）设置 printers 配置项使用默认设置就可以让客户端正常使用权打印机了哈，需要注意的就是 printable 一定要设置成 yes 哈，如果不设置成 yes 那还打什么哈pa

55、th 字段定义打印机队列，可以根据需要自己定制哈，另外共享打印和共享目录不一样哈，安装完打印机后必须重新启动 samba 服务，否则客户端可能无法看到共享的打印机。如果设置只允许部分员工使用打印机，我们可以使用 validusers、hosts allow 或 hosts deny 字段来实现哈，这些在讲共享目录时已经说过了，不清楚可以再翻翻看哈下面进入 samba 企业实战与应用。7 Samba 企业实战与应用7.1 企业环境及需求samba 服务器目录：企业数据目录：/companydata 公共目录：/companydata/share销售部目录：/companydata/sales技术部：/companydata/tech企业员工情况：总经理：gm销售部：销售部经理 redking、员工 sky、员工 jane技术部：技术部经理 michael、员工 bill、员工 joy搭建 samba 文件服务器，建立公共共享目录