RHEL项目Samba跨平台资源享的管理

“十二五”职业教育国家规划教材选题立项

RedHatEnterpriseLinux6.4（RHEL6.4）

教材附带的光盘资源Linux网络操作系统配置与管理教材主编：夏笠芹课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(4套)IT认证+全国技能大赛资料知识拓展&网络工程解决方案项目7Samba跨平台资源共享的管理【职业知识目标】了解:SMB协议；文件共享协议的基本概念和Samba服务的功能熟悉:Samba服务的工作流程,Samba配置文件中配置参数的设置；Samba服务器四种级别的配置方法掌握:

Samba的安装、Samba服务器的命令管理,Samba客户程序的使用,使用Windows和Linux进行共享资源的访问；Samba虚拟用户的配置；基于用户或用户组的独立配置文件；配置Samba打印共享【职业能力目标】会安装Samba服务的软件包能配置可匿名访问的文件共享能配置带验证的文件共享会配置虚拟用户会配置隐藏共享目录能搭建基于用户或用户组的独立配置文件能在客户端实现Linux与Windows资源互访会配置Samba打印共享7.1项目描述目前,Windows和Linux操作系统各自拥有自己的用户群和市场,一般的公司或学校可能同时有Windows和Linux操作系统的主机。Windows主机彼此间可利用“网上邻居”来访问共享的资源,Samba则是在Windows主机与Linux主机间实现资源共享而架设的桥梁。如何把公司内部的网上公共资源设置成既能方便访问,又能保证访问安全,还能高效管理,是网络管理员的基本职责。为了存放和使用公司、部门以及个人的数据资料,在公司的网络内专门搭建了一台文件服务器,并通过文件共享方式发布到网上,这样公司员工都可以通过网络访问文件服务器中的文件夹或文件。但是这些文件夹或文件资源由于所有者和用途的不同,需要针对不同的用户设置不同的访问权限来保障资源的安全。

7.2项目知识准备7.2.1Samba简介1．SMB/CIFS协议SMB协议是Microsoft和Intel在1987年开发的,通过该协议使得客户端应用程序可以在各种网络环境下访问服务器端的文件和打印机等资源,从而实现不同Windows系统主机之间的资源共享。7.2项目知识准备Samba是在Linux系统上对SMB/CIFS的具体实现,通过Samba服务器的搭建和Samba客户机软件的安装,就可以实现Linux系统主机和Windows主机之间的双向文件和打印机的共享,7.2项目知识准备2．Samba的主要功能①与Windows系统之间实现文件、CD-ROM、打印机等资源的双向共享服务。②解析NetBIOS名字:Samba通过nmbd服务可以搭建NBNS(NetBIOSNameService)服务器,提供名称解析,将计算机的NetBIOS名解析为IP地址,实现主机之间的访问定位。③支持跨平台访问的身份验证和权限设置,支持SSL(SecureSocketLayer,安全套接字层)。④samba服务器可作为网络中的WINS服务器,甚至作为WindowsServer2003/2008域中的域控制器的一些功能。

7.2项目知识准备3．Samba服务的工作过程7.3项目实施任务7-1Samba服务的安装与运行控制

1．Samba软件包的组成samba-3.5.10-125.el6.i686.rpmSamba服务必须安装的主程序包。samba-common-3.6.9-151.el6.i686.rpm服务器和Linux客户端均必须要安装的通用工具和库文件。samba-client-3.6.9-151.el6.i686.rpm该包是Linux客户端连接Samba服务器和网上邻居的工具及测试软件,Linux客户机上必须安装。samba-winbind-3.6.9-151.el6.i686s.rpm:使Samba服务器能成为Windows域的成员服务器,进而使得Linux能够使用Windows域的帐户完成非Samba身份验证任务。samba-winbind-clients-3.6.9-151.el6.i686.rpm使Linux主机加入到Windows域,并使Windows域用户能在Linux主机上以Linux用户身份方式进行操作。2.检查是否安装Samba服务器#

rpm-qa|grepsamba

samba-winbind-clients-3.6.9-151.el6.i686samba-winbind-3.6.9-151.el6.i686samba-client-3.6.9-151.el6.i686samba4-libs-4.0.0-55.el6.rc4.i686samba-common-3.6.9-151.el6.i686RHEL6系统中默认未安装Samba的主程序包

3.安装Samba软件包#mount/dev/cdrom/mnt#rpm-vih/mnt/Packages/samba-3.6.9-151.el6.i686.rpm任务7-1Samba服务的安装与运行控制4．Samba服务的运行控制启动、停止、重新启动和重新加载Samba服务servicesmbstart|stop|restart|reload或/etc/rc.d/init.d/smbstart|stop|restart|reload开机自动启动samba服务chkconfig--level345smbon|off或使用ntsysv工具配置开机自动启动。任务7-1Samba服务的安装与运行控制任务7-2认识Samba服务的配置文件1．Samba服务的配置文件文件说明/etc/samba/smb.conf主配置文件/etc/samba/lmhosts主机配置文件,用于本地解析NetBIOS名与对应的IP,功能同/etc/hosts类似。在启动Samba服务进程时能自动捕捉到网络中相关IP地址对应的NetBIOS名,并自动在lmhosts文件中添加这些映射关系,所以通常不需专门配置该文件/etc/samba/smbusers用户文件,此文件提供了外部登录名与本地用户名的映射关系,便于Windows账户直接访问Samba服务器/var/log/samba/该目录用于存放Samba的日志文件任务7-2认识Samba服务的配置文件表7-2smb.conf主配置文件的主要组成部分

部分节/段落说明全局设置(GlobalSettings)[global]用于定义Samba服务器的总体特性,其配置项对所有共享资源生效共享定义(ShareDefinitions)[homes]用于设置用户宿主目录的共享属性[printes]用于设置打印机共享资源的属性[myshare]用于用户自定义的共享目录的共享属性的设置(需自己添加,每个共享目录对应一节)任务7-2认识Samba服务的配置文件2．smb.conf文件中全局参数的设置类型配置项及默认值说明基本workgroup=MYGROUP设置Samba服务器所属的工作组名或域名serverstring=SambaServerVersion%v表示在Windows客户端启动Samba服务器的内容窗口后,所显示的备注栏的信息,“Version%v”表示显示Samba版本号;netbiosname=MYSERVER设置Samba服务器NETBIOS名称,即在Windows网上邻居中显示出来的Samba服务器的名称;interfaces=loeth0192.168.12.2/24192.168.13.2/24指定Samba服务器监听哪些网卡,若服务器上有多块网卡应配置此项。可以写网卡名或该网卡的IP地址日志;logfile=/var/log/samba/%m.log指定日志文件的存放位置,并为每个登录服务器的用户建立不同的日志文件,“%m”变量表示客户端的主机名或IP地址;maxlogsize=50指定日志文件的最大容量,单位为KB,"0"代表无限制表7-3smb.conf全局设置主要配置项任务7-2认识Samba服务的配置文件类型配置项及默认值说明安全security=user设置Samba服务器的安全级别;passwordserver=<NT-Server-Name>当Samba服务器的安全级别不是share或user时,用于指定验证Samba用户和口令的服务器名;hostsallow=127.192.168.12.192.168.13.设置可访问Samba服务器的的主机、子网或网域,可用EXCEP排除某些IP地址。默认是全部允许usernamemap=/etc/samba/smbusers设置Linux用户到Windows的用户映射打印loadprinters=yes是否允许加载打印配置文件中的所有打印机,在开机时自动加载浏览列表,以支持客户端的浏览功能cupsoption=

raw指定打印机系统的工作模式;printcapname=/etc/printcap设置开机时自动加载的打印机配置文件名称和路径;printing=cups设置打印机的类型.标准类型包括bsd、sysv、plp、lprng、aix、hpux、qnx、cups表7-3smb.conf全局设置主要配置项任务7-2认识Samba服务的配置文件Samba服务器的安全级别,按照安全性由低到高为以下四种取值:share:没有安全性的级别,客户端不需要输入Samba用户名和密码就可访问Samba服务器的共享资源。适用于公共的共享资源,安全性差,需要配合其他权限设置来保证samba服务器的安全性。user:是Samba服务器的默认安全级别。Samba服务器要求用户在访问共享资源之前资源必须先提供用户名和密码进行验证。server:和user安全级别类似,但用户名和密码是递交到另外一个Samba服务器或Windows服务器去验证,此时必须指定负责验证的那个服务器名称。如果递交失败,就退到user安全级。domain:该安全级别要求网络上存在一台Windows的域控制器,samba把用户名和密码递交给它去验证,此时必须指定域控制服务器的NetBIOS名称。ads:当samba服务器使用ads安全级别加入到windows域环境中,其就具备了domain安全级别模式中所有的功能并可以具备域控制器的功能。任务7-这2认识Sa响mb易a服务脸的配垃置文眨件3．sm方b.获co脏nf文件鞋中共罢享定柏义的世设置要发汪布共寄享资强源,需要柔对共曾享定碧义部唱分(S梳ha伟re咐D汽ef颜in诸it骗io造ns附)进行盯配置贺。共嫩享定由义通僵过[H凳om赏es扁]、[P炸ri侵nt垮er刑s]和[自定按义目赶录名]等节狐来说均明共愿享资拒源的涨属性味。[h诵om瞎es锋]为特悼殊共诸享目或录,其名赌字不幻玉能改砖变。[h抬om粪es旱]共享付目录烛并不址特指谱具某拉个共底享目鹅录,而是棵表示Sa厅mb素a用户比的宿仪主目硬录,即Sa浸mb帮a用户完登录侦后可胜以访绸问同残名Li棵nu铁x系统跳用户佩的宿浮主目烫录中面的内债容。斑默认债情况地下,用户耐宿主盼目录棉位于/h喂om律e目录断下,每个斧用户玻有一朱个以涉用户日名命遍名的尸子目扔录。[p尤ri挂nt树er传s]表示胆共享写打印尊机。[p铃ri嘴nt拘er权s]行也撇是特长殊的换行,不能驼修改慨其名辩字。框若定道义了[p侵ri袭nt状er楚s]段,用户得就可购以连弟接在pr液in咬tc裙ap文件炕里指央定的笋打印陷机。舅要注捐意的表是,若是厚设置滴共享化打印丑机,则必合须设形置pr饶in猛ta胳bl纽奉e关键习字语呈句为ye俭s,否则烧用户参无法醒打印底。任务7-卡2认识Sa灵mb汇a服务砖的配西置文赴件表7-看4恒s甘mb渗.c峰on补f共享钥定义没常用绩配置箱项配置项说明[用户自定义的共享名]用户访问时通过此共享名来识别。也就是【网上邻居】里面看见的文件夹的名字,可以与原目录名不同。comment=备注信息设置共享目录或打印机的说明信息path=绝对地址路径指定共享目录在Samba服务器中的绝对路径public=yes|no是否允许匿名用户访问共享的文件夹或打印机资源guestok=yes|no连接共享资源时是否需要密码validusers=用户名或组名清单设置允许访问的用户或组成员,组名前面带@,多个用户名或组名以空格或逗号分隔readonly=yes|no设置共享目录只读还是可读写writable=yes|no指定共享目录有写入权限还是只读权限(目录本身是否可写是前提),与readonly的作用相反writelist=用户名或组名清单设置对共享目录具有可读写权限的用户名或组名。,组名前面带@,多个用户名或组名以空格或逗号分隔,writelist要生效的话,writeable设置成nobrowseable=yes|no设置共享目录在“网上邻居”中是否可见(默认为no即隐藏共享目录)printable=yes|no是否允许打印createmask=文件权限值设置用户在共享目录下创建的文件的默认访问权限。通常是以数字表示的,如0664,代表的是文件所有者对新创建的文件具有可读可写权限,其他用户具有可读权限,而所属主要组成员不具有任何访问权限。directorymask=子目录权限值设置用户在共享目录下创建的子目录的默认访问权限任务7-天2认识Sa勇mb颂a服务跃的配多置文朝件4．sm残b.暴co震nf文件疼的测疲试在完版成sm似b.妨co名nf文件馆所有槽配置愧后,可使津用te扶st林pa殃rm命令欢测试波配置柿文件览中的舒语法雨是否秧正确贸。若燃显示"L胳oa载de董d多se傍rv烂ic调es拘f锹il运e等OK取."信息保表示采配置韵文件鸽的语泻法是就正确漠的,再按【E独nt陆er甜】键,会显懒示主尘配置晴文件凑当前贪有效汁的配强置清本单。任务7-轧3配置奶可匿庆名访拌问的凝文件隙共享在sh游ar循e安全非级别典下的Sa绘mb缓a服务罚器允臭许匿臭名访斯问(不需传要客厕户端伍提供间用户璃名和刑密码)其共锯享资辆源,对于民安全观性要崖求不很高的圣小型认网络,是一程种方盘便实咏用的仓可选饺方案拴。【例7-前1】在Sa径mb台a服务添器上站发布中目录哪“/u做sr奔/s俊ha环re锄/m允yd狗oc相”为公森共共配享文俯件夹,共享芝名为pu改bl兔ic补_d掩oc示,允许疼除17庆2.狮16锯.1忧02督.2乎22以外脑的17敲2.飞16偶.1封02摸.0网段是中的紫所有们用户派访问,可以录写入明文件,但是论不可敲以删都除或地修改赵其他悉用户升的文躺件。任务7-决3配置贫可匿忽名访讽问的帖文件柏共享步骤1:创建魔目录/u头sr无/s酿ha桌re某/m姻yd确oc并设贡置其虫访问勾权限膊。步骤2:修改sa带mb墨a主配针置文射件sm弟b.醉co秀nf。步骤3:重新乘启动SM罚B使配驼置生恐效。步骤4:确保涛服务饰器防符火墙配开放TC订P1犹39端口文和UD苦P离13欲7、13邻8端口溉。步骤5:修改SE榜Li扑nu暮x。步骤6:测试唤。任务7-孤4配置耗带验授证的地文件滋共享对于闹重要伙文件鼓的目葵录,为了沸保证诱系统虏安全必性及片资料消保密让性,就必碑须对婆用户回进行结筛选,允许丸或禁劫止相范应的把用户江访问毒指定眯目录顾。实等现用删户身经份验滥证的饺途径箩可以勒通过膝将安盯全级灾别配盾置为us踪蝶er、se蜡rv宗er和do丑ma墙in来实询现。下面说以最扮常用饮的us暗er安全缝级别毒为例饼说明扬其配统置过咏程。【例7-扎2】学校海按部聚门在Sa豪mb店a服务切器中硬建立隐相应何部门册的目颜录,要求苹教务跨处(j遇wc片)和学牧生处(x健sc涛)只可柱以校锤长(r械ec泊to挡r)和相盏应部押门员罪工访详问,禁止追非本倡部门绢员工论的访扯问。任务7-兵4配置什带验弯证的缓文件唉共享步骤1:按部遮门创这建Li僻nu赠x系统蔑用户刷、组属。步骤2:建立失相应盈的Sa坛mb御a用户捏账号到。步骤3:创建醋各部去门相妥应的飞目录吧并规咐划其姓权限那步骤4:修改sa侍mb植a主配朝置文乖件sm春b.同co倘nf。步骤5:重新播加载胶配置,使修体改后醋的配踢置文斩件生领效。步骤6:测试任务7-序5兼S百am居ba服务灭器扩摆展功巧能配课置1．虚南拟用岂户的座配置隐藏披系统口真实廊用户,减少溪密码读穷举昨攻击券的风聚险。真实陡用户弃与虚爸拟用挑户的愚映射室关系伤通过仍“/e数tc题/s金am单ba秋/s最mb丈us昨er只s”文件茄来定愤义和丙保存诸。配置传步骤盏如下:步骤1:编辑靠主配教置文疮件,开启粮用户裳账号类映射虫功能管。[r伞oo塔t@肝dy远zx溜~渔]#愁v饺im闭/e甜tc四/s嗓am妖ba借/s百mb寒.c夜on摄f//在[g刚lo戏ba栽l]中添临加以昂下配疤置行:us哀er梁na死me趣m允ap孔=越/壳et磨c/旬sa墨mb辛a/步sm狐bu特se槽rs列/炊/开启千用户挖账号利映射脱功能步骤2:编辑/e寨tc怨/s剃am梳ba糕/s夜mb岩us棚er刺ssm努bu满se之rs文件浊中定倾义账懂号映郑射关柿系的锐格式仁为:sa围mb斤a用户=虚拟露用户[,虚拟有用户…]步骤3:重启Sa稻mb固a服务步骤4:验证趟。任务7-雕5坚S庭am居ba服务毫器扩旋展功弓能配应置2．隐惑藏共肚享目球录的妄配置使用br俱ow卧se只ab护le字段混可实眠现隐目藏共申享的阵功能共享阳目录评隐藏递了并卧不是冬说不俗共享阀了,只要赛知道贼共享亭名,并且陶有相暗应权悼限,在Wi禁nd登ow冷s客户音端可鸭以在虹地址县栏中倘输入自“\\崖IP地址\共享昨名”强来访钳问隐勺藏共远享。[r客oo孙t@切dy才zx袖~抓]#吗v罢im打/e氧tc糊/s住am懂ba夫/s惹mb含.c岂on葡f……垄……知……成…[s到al廉es朴_d晃oc牌]co羞mm记en猛t筐=案sa镰le茧s当da穗tapa追th忧=物/壤us储r/卸sh兔ar牧e/史sa值le田sva示li娱d然us撞er搏s俯=姨ce定o狐@s剪al牵esbr峰ow住se权ab习le确=朝n诞o//设置场隐藏sa掏le争s目录[r冲oo腥t@盲dy门zx木~罢]#岗s她er护vi酱ce沸s兼mb锤r辱es拥ta嗽rt任务7-葱5鞠S杏am禁ba服务俩器扩座展功茫能配蜘置3．搭懒建基匪于用怕户或厨用户松组的介独立撇配置哲文件步骤1:建立矮独立狱的配概置文蕉件。[r惩oo解t@仰dy详zx摘~宜]#感c叼d江/业et福c/聋sa角mb超a/[r截oo侦t@妻dy康zx移~垃]#五c浑p驴s民mb琴.c污on同f太s赞mb射.c占on返f.旋ce市o步骤2:编辑sm野b.掠co阴nf主配更置文胆件在[g培lo险ba祝l]中加派入co这nf徒ig剥f架il压e犁=驻/e加tc誉/s绒am电ba折/s霸mb罪.c逃on够f.客%U姓,表示sa真mb美a服务间器读碎取/e炕tc侵/s盈am死ba回/s到mb竖.c性on口f.瞒%U文件,其中%U代表何当前衣登录彩用户[r办oo尿t@笑dy抖zx竟~办]#舒v掏im鼻/e欺tc节/s皆am欢ba闹/s椒mb米.c轧on屯f[g兵lo湿ba谦l]co慢nf年ig光f胞il跌e决=烘/e炮tc葱/s逐am贪ba弹/s薄mb首.c筋on握f.款%U徐/辣/添加劫此行……抚……步骤3:编辑sm宾b.崇co矮nf桂.c京eo独立炉配置也文件编辑ce办o账号副的独遗立配冲置文飞件sm半b.朋co树nf幸.c摊eo到,将定央义[s秆al虹es雾_d位oc蛇]共享易目录巩里面些的br大ow跃se铲ab涛le疫=呼n童o删除,其余短配置连不变牌。步骤4:重新胶启动sa组mb查a服务任务7-默6贸L埋in剥ux与Wi茄nd万ow滚s资源费互访1．在Li胁nu刊x客户宣端访坚问共笛享目竿录1)僻Li萄nu鞋x客户蜓端的拢安装在Li惧nu星x客户泽端登禽录访蛾问Sa走mb混a服务醋器或Wi洁nd狭ow粗s主机咸时,首先危要确次保该Li苹nu初x客户宏端已嫌经安晚装了sa跪mb沾a-禽cl销ie妇nt软件茄包。2)震Li跪nu踩x客户探端访虾问sa览mb冲a服务虏器Li慌nu迫x客户团端访急问sa文mb验a服务锡器或Wi腿nd乎ow券s主机馒主要巾有以群下两厘种方游法(1咸)使用sm骄bc边li业en捐t工具暮登录脑到共宫享目坐录所倾在主煮机其使宜用的轮形式植有如亚下几娱种情鉴况:任务7-胆6占L薪in信ux与Wi息nd俩ow瓶s资源最互访1．在Li症nu繁x客户跃端访扩问共折享目灶录(1橡)使用sm筝bc冠li贵en症t工具然登录趁到共膨享目岛录所蹄在主它机其使听用的捞形式嫌有如缸下几达种情耍况:①查看额服务恼器中后的共耻享资好源sm仁bc绳li体en劳t魄-L目标IP地址温或主潜机名-U登录五用户亮名%密码②浏疏览、框上传失下载屡服务最器中收的共奖享资白源sm笔bc渴li获en圈t撞//目标IP地址慌或主促机名/共享马目录-U用户落名%密码(2红)利用mo说un蹄t命令蠢将共画享目导录挂欺载到别本地球使用mo哑un吗t哑//目标IP或主畜机名/共享枪目录送名论挂载停点-o箩u侧se仓rn容am筝e=用户芽名%密码任务7-咽6捐L梳in册ux与Wi夕nd布ow穗s资源尤互访2．Wi担nd扑ow地s客户诊端访察问Sa铜mb锄a服务属器中爆的共丙享目院录在Wi胡nd玻ow吩s客户寸端上,不需顾要另唐外安璃装任球何软化件,并且活访问Sa准mb跳a服务晒器中可的共壳享目赴录与尊访问既其他Wi敬nd帅ow搬s主机宫提供艰的共织享目短录,使用醋的方握法完干全相框同。街可以苹在【运行】对