1、Red Hat Enterprise Linux 6.4(RHEL6.4)教材附带的教材附带的项目项目7 Samba跨平台资源共享的管理跨平台资源共享的管理项目描述项目描述 samba-winbind-clients-3.6.9-151.el6.i686samba-winbind-3.6.9-151.el6.i686samba-client-3.6.9-151.el6.i686samba4-libs-4.0.0-55.el6.rc4.i686samba-common-3.6.9-151.el6.i686 rpm-vih/mnt/Packages/samba-3.6.9-151.el6.i686
2、.rpm文件文件 说明说明/etc/samba/smb.conf 主配置文件主配置文件/etc/samba/lmhosts 主机配置文件主机配置文件,用于本地解析用于本地解析NetBIOS名与对应名与对应的的IP,功能同功能同/etc/hosts类似。在启动类似。在启动Samba服服务进程时能自动捕捉到网络中相关务进程时能自动捕捉到网络中相关IP地址对应地址对应的的NetBIOS名名,并自动在并自动在lmhosts文件中添加这文件中添加这些映射关系些映射关系,所以通常不需专门配置该文件所以通常不需专门配置该文件/etc/samba/smbusers 用户文件用户文件,此文件提供了外部登录名与本
3、地用户此文件提供了外部登录名与本地用户名的映射关系名的映射关系,便于便于Windows账户直接访问账户直接访问Samba服务器服务器/var/log/samba/该目录用于存放该目录用于存放Samba的日志文件的日志文件 部分部分节节/段落段落说明说明 全局设置全局设置(Global Settings)global 用于定义用于定义Samba服务器的总体特性服务器的总体特性,其其配置项对所有共享资源生效配置项对所有共享资源生效 共享定义共享定义(Share Definitions)homes 用于设置用户宿主目录的共享属性用于设置用户宿主目录的共享属性 printes 用于设置打印机共享资源的
4、属性用于设置打印机共享资源的属性 myshare 用于用户自定义的共享目录的共享属用于用户自定义的共享目录的共享属性的设置性的设置(需自己添加需自己添加,每个共享目录对每个共享目录对应一节应一节)任务任务7-2 认识认识Samba服务的配置文件服务的配置文件2smb.conf文件中全局参数的设置文件中全局参数的设置类类型型配置项及默认值配置项及默认值说明说明基基本本workgroup=MYGROUPworkgroup=MYGROUP设置设置Samba服务器所属的工作组名或域名服务器所属的工作组名或域名server string=Samba Server Version%v表示在表示在Windo
5、ws客户端启动客户端启动Samba服务器的内容窗服务器的内容窗口后口后,所显示的备注栏的信息所显示的备注栏的信息,“Version%v”表示显示表示显示Samba版本号版本号;netbios name=MYSERVER;netbios name=MYSERVER设置设置Samba服务器服务器NETBIOS名称名称,即在即在Windows网上网上邻居中显示出来的邻居中显示出来的Samba服务器的名称服务器的名称;interfaces=lo eth0 192.168.12.2/24;interfaces=lo eth0 192.168.12.2/24 192.168.13.2/24192.168.
6、13.2/24指定指定Samba服务器监听哪些网卡服务器监听哪些网卡,若服务器上有多块网若服务器上有多块网卡应配置此项。可以写网卡名或该网卡的卡应配置此项。可以写网卡名或该网卡的IP地址地址日日志志;log file=/var/log/samba/%m.log;log file=/var/log/samba/%m.log指定日志文件的存放位置指定日志文件的存放位置,并为每个登录服务器的用户并为每个登录服务器的用户建立不同的日志文件建立不同的日志文件,“%m”变量表示客户端的主机名变量表示客户端的主机名或或IP地址地址;max log size=50;max log size=50指定日志文件的
7、最大容量指定日志文件的最大容量,单位为单位为KB,0代表无限制代表无限制表表7-3 smb.conf全局设置主要配置项全局设置主要配置项任务任务7-2 认识认识Samba服务的配置文件服务的配置文件类类型型配置项及默认值配置项及默认值说明说明安安全全security=usersecurity=user设置设置SambaSamba服务器的安全级别服务器的安全级别;password server=;password server=当当SambaSamba服务器的安全级别不是服务器的安全级别不是shareshare或或useruser时时,用于指定验证用于指定验证SambaSamba用户和口令的服务
8、器名用户和口令的服务器名;hosts allow=127.192.168.12.;hosts allow=127.192.168.12.192.168.13.192.168.13.设置可访问设置可访问SambaSamba服务器的的主机、子网或网域服务器的的主机、子网或网域,可用可用EXCEPEXCEP排除某些排除某些IPIP地址。默认是全部允许地址。默认是全部允许username map=/etc/samba/smbusersusername map=/etc/samba/smbusers设置设置Linux Linux 用户到用户到Windows Windows 的用户映射的用户映射打打印印l
9、oad printers=yesload printers=yes是否允许加载打印配置文件中的所有打印机是否允许加载打印配置文件中的所有打印机,在在开机时自动加载浏览列表开机时自动加载浏览列表,以支持客户端的浏览以支持客户端的浏览功能功能cups option=cups option=rawraw指定打印机系统的工作模式指定打印机系统的工作模式;printcap name=/etc/printcap;printcap name=/etc/printcap设置开机时自动加载的打印机配置文件名称和路设置开机时自动加载的打印机配置文件名称和路径径;printing=cups;printing=cup
10、s设置打印机的类型设置打印机的类型.标准类型包括标准类型包括bsdbsd、sysvsysv、plpplp、lprnglprng、aixaix、hpuxhpux、qnxqnx、cupscups表表7-3 smb.conf全局设置主要配置项全局设置主要配置项任务任务7-2 认识认识Samba服务的配置文件服务的配置文件Samba服务器的安全级别服务器的安全级别,按照安全性由低到高为以下四种按照安全性由低到高为以下四种取值取值:share:没有安全性的级别没有安全性的级别,客户端不需要输入客户端不需要输入Samba用户名和密码就用户名和密码就可访问可访问Samba服务器的共享资源。适用于公共的共享资
11、源服务器的共享资源。适用于公共的共享资源,安全性差安全性差,需要配合其他权限设置来保证需要配合其他权限设置来保证samba服务器的安全性。服务器的安全性。user:是是Samba服务器的默认安全级别。服务器的默认安全级别。Samba服务器要求用户在服务器要求用户在访问共享资源之前资源必须先提供用户名和密码进行验证。访问共享资源之前资源必须先提供用户名和密码进行验证。server:和和user安全级别类似安全级别类似,但用户名和密码是递交到另外一个但用户名和密码是递交到另外一个Samba服务器或服务器或Windows服务器去验证服务器去验证,此时必须指定负责验证的此时必须指定负责验证的那个服务器
12、名称。如果递交失败那个服务器名称。如果递交失败,就退到就退到user安全级。安全级。domain:该安全级别要求网络上存在一台该安全级别要求网络上存在一台Windows的域控制器的域控制器,samba把用户名和密码递交给它去验证把用户名和密码递交给它去验证,此时必须指定域控制服务器此时必须指定域控制服务器的的NetBIOS名称。名称。ads:当当samba服务器使用服务器使用ads安全级别加入到安全级别加入到windows域环境中域环境中,其其就具备了就具备了domain安全级别模式中所有的功能并可以具备域控制器的安全级别模式中所有的功能并可以具备域控制器的功能。功能。任务任务7-2 认识认识
13、Samba服务的配置文件服务的配置文件任务任务7-2 认识认识Samba服务的配置文件服务的配置文件表表7-4 smb.conf共享定义常用配置项共享定义常用配置项配置项说明用户访问时通过此共享名来识别。也就是用户访问时通过此共享名来识别。也就是【网上邻居网上邻居】里面看见的文里面看见的文件夹的名字件夹的名字,可以与原目录名不同。可以与原目录名不同。设置共享目录或打印机的说明信息设置共享目录或打印机的说明信息指定共享目录在指定共享目录在SambaSamba服务器中的绝对路径服务器中的绝对路径是否允许匿名用户访问共享的文件夹或打印机资源是否允许匿名用户访问共享的文件夹或打印机资源连接共享资源时是
14、否需要密码连接共享资源时是否需要密码设置允许访问的用户或组成员设置允许访问的用户或组成员,组名前面带组名前面带,多个用户名或组名以空多个用户名或组名以空格或逗号分隔格或逗号分隔设置共享目录只读还是可读写设置共享目录只读还是可读写指定共享目录有写入权限还是只读权限指定共享目录有写入权限还是只读权限(目录本身是否可写是前提目录本身是否可写是前提),),与与readonlyreadonly的作用相反的作用相反设置对共享目录具有可读写权限的用户名或组名。设置对共享目录具有可读写权限的用户名或组名。,组名前面带组名前面带,多多个用户名或组名以空格或逗号分隔个用户名或组名以空格或逗号分隔,write li
15、st,write list要生效的话要生效的话,writeable,writeable设置成设置成nono设置共享目录在设置共享目录在“网上邻居网上邻居”中是否可见中是否可见(默认为默认为nono即隐藏共享目录即隐藏共享目录)是否允许打印是否允许打印设置用户在共享目录下创建的文件的默认访问权限。通常是以数字表设置用户在共享目录下创建的文件的默认访问权限。通常是以数字表示的示的,如如0664,0664,代表的是文件所有者对新创建的文件具有可读可写权限代表的是文件所有者对新创建的文件具有可读可写权限,其他用户具有可读权限其他用户具有可读权限,而所属主要组成员不具有任何访问权限。而所属主要组成员不具
16、有任何访问权限。directory mask=directory mask=子目录权限值子目录权限值设置用户在共享目录下创建的子目录的默认访问权限设置用户在共享目录下创建的子目录的默认访问权限在完成在完成smb.conf文件所有配置后文件所有配置后,可使用可使用testparm命令测试配置文件中的语法是否正命令测试配置文件中的语法是否正确。若显示确。若显示Loaded services file OK.信息信息表示配置文件的语法是正确的表示配置文件的语法是正确的,再按再按【Enter】键键,会显示主配置文件当前有效的配置清单会显示主配置文件当前有效的配置清单。在在share安全级别下的安全级别
17、下的Samba服务器允许匿服务器允许匿名访问名访问(不需要客户端提供用户名和密码不需要客户端提供用户名和密码)其其共享资源共享资源,对于安全性要求不高的小型网络对于安全性要求不高的小型网络,是是一种方便实用的可选方案。一种方便实用的可选方案。【例例7-1】在在Samba服务器上发布目录服务器上发布目录“/usr/share/mydoc”为公共共享文件夹为公共共享文件夹,共享名共享名为为public_doc,允许除允许除172.16.102.222以外的以外的172.16.102.0网段中的所有用户访问网段中的所有用户访问,可以写入文可以写入文件件,但是不可以删除或修改其他用户的文件。但是不可以
18、删除或修改其他用户的文件。步骤步骤1:创建目录创建目录/usr/share/mydoc并设置其并设置其访问权限。访问权限。步骤步骤2:修改修改samba主配置文件主配置文件smb.conf。步骤步骤3:重新启动重新启动SMB使配置生效。使配置生效。步骤步骤4:确保服务器防火墙开放确保服务器防火墙开放TCP139端口和端口和UDP 137、138端口。端口。步骤步骤5:修改修改SELinux。步骤步骤6:测试。测试。对于重要文件的目录对于重要文件的目录,为了保证系统安全性及为了保证系统安全性及资料保密性资料保密性,就必须对用户进行筛选就必须对用户进行筛选,允许或禁允许或禁止相应的用户访问指定目录
19、。实现用户身份止相应的用户访问指定目录。实现用户身份验证的途径可以通过将安全级别配置为验证的途径可以通过将安全级别配置为user、server和和domain来实现。来实现。下面以最常用的下面以最常用的user安全级别为例说明其配安全级别为例说明其配置过程。置过程。【例例7-2】学校按部门在学校按部门在Samba服务器中建立相服务器中建立相应部门的目录应部门的目录,要求教务处要求教务处(jwc)和学生处和学生处(xsc)只只可以校长可以校长(rector)和相应部门员工访问和相应部门员工访问,禁止非本禁止非本部门员工的访问。部门员工的访问。步骤步骤1:按部门创建按部门创建Linux系统用户、组
20、。系统用户、组。步骤步骤2:建立相应的建立相应的Samba用户账号。用户账号。步骤步骤3:创建各部门相应的目录并规划其权限创建各部门相应的目录并规划其权限步骤步骤4:修改修改samba主配置文件主配置文件smb.conf。步骤步骤5:重新加载配置重新加载配置,使修改后的配置文件生使修改后的配置文件生效。效。步骤步骤6:测试测试 步骤步骤4:验证。验证。任务任务7-5 Samba服务器扩展功能配置服务器扩展功能配置 使用使用browseable字段可实现隐藏共享的功能字段可实现隐藏共享的功能共享目录隐藏了并不是说不共享了共享目录隐藏了并不是说不共享了,只要知道共享名只要知道共享名,并且有并且有相
21、应权限相应权限,在在Windows客户端可以在地址栏中输入客户端可以在地址栏中输入“IP地址地址共享名共享名”来访问隐藏共享。来访问隐藏共享。rootdyzx#vim /etc/samba/smb.confsales_doccomment=sales datapath=/usr/share/salesvalid users=ceo salesbrowseable=no /设置隐藏设置隐藏sales目录目录rootdyzx#service smb restart任务任务7-5 Samba服务器扩展功能配置服务器扩展功能配置 步骤步骤1:建立独立的配置文件建立独立的配置文件。rootdyzx#cd
22、 /etc/samba/rootdyzx#cp smb.conf smb.conf.ceo步骤步骤2:编辑编辑smb.conf主配置文件主配置文件在在global中加入中加入config file=/etc/samba/smb.conf.%U,表示表示samba服务器读取服务器读取/etc/samba/smb.conf.%U文件文件,其中其中%U代表当前登录用户代表当前登录用户rootdyzx#vim /etc/samba/smb.confglobalconfig file=/etc/samba/smb.conf.%U/添加此行添加此行步骤步骤3:编辑编辑smb.conf.ceo独立配置文件独
23、立配置文件编辑编辑ceo账号的独立配置文件账号的独立配置文件smb.conf.ceo,将定义将定义sales_doc共享目共享目录里面的录里面的browseable=no删除删除,其余配置不变。其余配置不变。步骤步骤4:重新启动重新启动samba服务服务 任务任务7-6 Linux与与Windows资源互访资源互访 1)Linux客户端的安装客户端的安装在在Linux客户端登录访问客户端登录访问Samba服务器或服务器或Windows主机时主机时,首先要确保该首先要确保该Linux客户端已经客户端已经安装了安装了samba-client软件包。软件包。2)Linux客户端访问客户端访问samb
24、a服务器服务器Linux客户端访问客户端访问samba服务器或服务器或Windows主机主机主要有以下两种方法主要有以下两种方法(1)使用使用smbclient工具登录到共享目录所在主机工具登录到共享目录所在主机其使用的形式有如下几种情况其使用的形式有如下几种情况:任务任务7-6 Linux与与Windows资源互访资源互访(1)使用使用smbclient工具登录到共享目录所在主机工具登录到共享目录所在主机其使用的形式有如下几种情况其使用的形式有如下几种情况:查看服务器中的共享资源查看服务器中的共享资源浏览、上传下载服务器中的共享资源浏览、上传下载服务器中的共享资源任务任务7-6 Linux与
25、与Windows资源互访资源互访 任务任务7-7 配置配置Samba打印共享打印共享 修改修改smb.conf全局配置全局配置,开启打印共享功能。开启打印共享功能。rootdyzx#vim /etc/samba/smb.confglobal load printers=yes cups options=raw printcap name=/etc/printcap printing=cupsrootdyzx#vim /etc/samba/smb.confprinters comment=All Printers path=/var/spool/samba browseable=no guest ok=no writable=no printable=yes
