1、【项目描述】公司局域网中的计算机有Windows操作系统和Linux操作系统两种。要使这两种类型的操作系统之间能够共享文件,需要搭建一台服务器,既能被Windows客户端访问,又能被Linux客户端访问。这台服务器就是Samba服务器。本项目中我们就来完成Samba服务器的配置与管理任务。【学习目标】(1)了解Samab工作原理。(2)掌握Samba服务器的基本配置方法。(3)掌握Windows客户端和Linux客户端共享Samba服务器资源的方法。预备知识 认识Samba服务器1.SMB协议SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Int
2、el)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB是在OSI参考模式的会话层和表示层以及小部分应用层的协议。在NetBIOS出现之后,Microsoft就使用NetBIOS实现了一个网络文件/打印服务系统,这个系统基于NetBIOS设定了一套文件共享协议,Microsoft称之为SMB(Server Message Block)协议。这个协议被Microsoft用于它们Lan Manager和Windows NT服务器系统中,而Windows系统均包括这个协议的客户软件,因而这个协议在局域网系统中影响很大。1.SMB协议与其他标准的TCP/IP协议不同,SMB协议
3、是一种复杂的协议,因为随着Windows计算机的开发,越来越多的功能被加入到协议中去了,很难区分哪些概念和功能应该属于Windows操作系统本身,哪些概念应该属于SMB协议。其他网络协议由于是先有协议,实现相关的软件,因此结构上就清晰简洁一些,而SMB协议一直是与Microsoft的操作系统混在一起进行开发的,因此协议中就包含了大量的Windows系统中的概念。2.Samba工作原理为了让Windows和Linux计算机相集成,最好的办法即是在Linux中安装支持SMB协议的软件,这样Windows客户就不需要更改设置,就能如同使用Windows NT服务器一样,使用Linux计算机上的资源了
4、。这个软件就是Samba。2.SAMBA工作原理 Samba软件通过SMB协议搭建文件服务器,使得Windows用户和Linux用户均可以访问。Samba软件的功能包括:(1)共享Linux的文件系统。(2)共享安装在Samba服务器上的打印机。(3)支持Windows客户机通过网上邻居浏览网络资源。(4)使用Windows系统共享的文件和打印机。(5)支持Windows域控制器和Windows成员服务器对使用Samba资源的用户进行认证。2.SAMBA工作原理 Samba的核心是两个守护进程:smbd和nmbd。在服务器启动到停止期间持续运行,smbd监听TCP139端口,nmbd监听UDP
5、137和138端口。smbd进程的作用是处理到来的SMB数据包,用来管理Samba服务器上的共享目录、打印机等,对网络上的共享资源进行管理,nmbd进程主要进行NetBIOS名解析,使其他主机能浏览Linux服务器上的共享资源。任务一 安装Samba服务器任务提出要想使Samba服务器顺利运行,首先需要安装好所需要的软件包。本次任务主要安装Samba服务器所需要的软件包。任务分析RHEL7.3中与Samba服务有关的软件包有:(1)Samba主程序软件包:samba-4.4.4-9.el7.x86_64.rpm。(2)Samba客户端软件包:samba-client-4.4.4-9.el7.x
6、86_64.rpm、samba-client-libs-4.4.4-9.el7.i686.rpm、samba-client-libs-4.4.4-9.el7.x86_64.rpm。(3)Samba通用工具和库文件软件包:samba-common-4.4.4-9.el7.noarch.rpm、samba-common-libs-4.4.4-9.el7.x86_64.rpm、samba-common-tools-4.4.4-9.el7.x86_64.rpm、samba-libs-4.4.4-9.el7.i686.rpm、samba-libs-4.4.4-9.el7.x86_64.rpm。我们可以根
7、据需要安装相应的软件包。但是主程序包是一定要安装的。任务实施查看查看系统中当前已经安装系统中当前已经安装的软件包的软件包如果主程序包没有安装,则需要安装主程序包。任务实施安装主程序包安装主程序包步骤1 挂载光盘步骤2 使用YUM安装软件包任务总结 如果在前面项目的任务中完成了YUM文件的配置,那么本任务中Samba的安装将会非常轻松。因此,还需要把基础工作做扎实,才能很好地完成本次任务。同步训练 检查当前系统中是否安装了Samba的软件包,如果没有,请安装此软件包。任务二 配置共享级Samba服务器任务提出公司需要添加Samba服务器作为文件服务器,服务器IP地址为192.168.1.100,
8、工作组名为zzgroup,发布的共享目录为/companydata/share,共享名为zzpub,这个目录允许公司所有员工匿名访问。任务分析Samba服务器的安全模式RHEL7.3中安装的Samba软件包为Samba4.4.4,在Samba4.x以后版本中有3种安全模式,来适应不同的企业服务器需求。之前版本中的share、server模式在新版本中已经不再使用。1)user安全级别模式 客户端登录Samba服务器,需要提交合法账号和密码,经过服务器验证才可以访问共享资源,服务器默认为此级别模式。2)domain安全级别模式 如果Samba服务器加入Windows域环境中,验证工作将由Wind
9、ows域控制器负责,domain级别的Samba服务器只是成为域的成员客户端,并不具备服务器的特性。3)ads安全级别模式 当Samba服务器使用ads安全级别加入到Windows域环境中,其就具备了domain安全级别模式中所有的功能并可以具备域控制器的功能。任务分析Samba服务器配置文件的格式任务分析Samba服务器配置文件的格式1)全局设置 global 标签是全局设置的起始,常用的设置字段有:(1)workgroup:设置工作组名称。(2)security:设置安全模式。(3)interface:设置samba服务器可以使用的网络接口。(4)hosts allow:设置允许访问Sam
10、ba服务器的IP或网段。任务分析Samba服务器配置文件的格式2)共享设置 以home标签开始表示用户家目录共享的设置,以printer标签开始表示用户共享打印机设置,以public标签开始表示公共目录共享设置,用户也定义自己的共享标签设置自己的共享目录。常用的设置字段有:(1)comment:设置对此共享的一个描述。(2)path:设置共享目录的绝对路径。(3)browseable:设置共享目录能否在网络中被看到。(4)read only:设置共享目录是否只读。(5)writable:设置共享目录是否可写,与read only是互斥的关系,二者选一个即可。(6)valid users:设置能
11、够访问该共享目录的用户或组。(7)public:设置是否允许匿名共享。任务实施步骤1 创建共享目录和共享文件任务实施步骤2 修改Samba主配置文件/etc/samba/smb.conf任务实施步骤3 启动服务任务实施步骤4 在Linux端进行测试(1)安装samba客户端。任务实施步骤4 在Linux端进行测试(2)查看可用的网络共享。任务实施步骤4 在Linux端进行测试(3)访问网络共享。任务实施步骤5 在Windows端进行测试(1)在【运行】窗口输入Samba服务器的IP地址。任务实施步骤5 在Windows端进行测试(2)打开输入用户名和密码对话框,用户名输入anonymous,密
12、码为空。任务实施步骤5 在Windows端进行测试(3)打开共享文件夹窗口。任务实施步骤5 在Windows端进行测试(4)双击其中的【zzpub】文件夹,即可看到共享文件夹中的文件。任务总结在此任务中,我们配置Samba服务器使用户可以匿名访问,并在Linux客户端和Windows客户端进行了测试。但是匿名访问并不是一种安全的访问形式,所以在RHEL7中,已经取消了原有的share安全级别,必须配合相关字段设置才可以实现。还要注意对允许匿名访问的目录的权限控制,尽量只允许读取,不允许写入,否则可能会带来更大的安全隐患。同步训练配置共享目录/companydata/myshare,共享名为my
13、pub,允许所有人匿名访问,分别在Linux客户端和Windows客户端进行访问测试。任务三 配置用户级Samba服务器任务提出公司Samba服务器IP地址为192.168.1.100,因工作需要,必须分别为每个部门建立共享目录。其中,将技术部的资料放在Samba服务器的/companydata/tech目录下,共享名为zztech,以便技术部的人员(同属于gtech组)访问,并且该目录仅允许技术部的人员读写。请以技术部用户账户user1为例进行测试。任务分析 根据【任务二】对Samba服务器安全级别的分析,本次任务需要用到的安全级别为user级。我们称它为“用户级”。为了区分不同的用户,需要
14、添加Samba服务器的用户并进行身份验证。Samab服务器中用户身份的验证通过passdb backend字段来设置,共有三种值:(1)tdbsam:使用数据库文件passdb.tdb存储用户身份信息,是Samba服务器默认的身份验证方式。(2)ldapsam:使用LDAP(Light Directory Access Protocol,轻量级目录访问协议)方式进行身份验证。(3)smbpasswd:使用smbpasswd命令创建用户并将用户身份信息放在smbpasswd文件中。使用这种方式进行用户管理,所创建的Samba用户首先必须是Linux系统中的用户。可以创建smbpasswd文件,将
15、创建的用户放入该文件中。任务分析管理Samba用户账户的命令为:【命令】sampasswd 选项 samba用户名【选项】-a 添加用户(该用户必须是Linux系统用户)-d 冻结用户,使该用户暂时不能登录Samba服务器(可以继续登录Linux系统)-e 恢复用户,使冻结的用户可以继续登录Samba服务器 -x 删除用户,使该用户不能再登录Samba服务器(可以继续登录Linux系统)任务实施步骤1 创建共享目录tech,并在其中创建共享文件techfile.txt。任务实施步骤2 创建gtech组,并将用户user1(系统中已有用户)添加到该组中。任务实施步骤3 修改配置文件。任务实施步骤
16、4 将user1添加为Samba用户。任务实施步骤5 重启smb服务。任务实施步骤6 在Linux客户端进行测试。任务实施步骤7 在Windows客户端进行测试。访问过程与匿名访问过程相同。同步训练公司销售部的资料存放在Samba服务器的/Companydata/sales目录下,共享名为zzsales,并且该目录只允许销售部的员工(同属于gsales组)读写。请配置Samba服务器完成该功能,并分别在Linux客户端和Windows客户端进行测试。任务四 Samba服务器高级配置任务提出 为了保证Samba服务器的安全性,我们需要对Samba服务器进行安全配置,本次任务主要包括:1.用户账号
17、映射 Samba服务器使用smbpasswd进行身份验证时,一个Samba账号必须对应一个同名的系统账号。因此,只要知道Samba服务器的账号,就等于知道了Linux系统账号。这对于Linux系统来说,是一件非常具有威胁的事情。因此,我们要把Samba账号加以“伪装”。用一个虚拟的账号来映射真实的账号。请将【任务三】中的user1账号映射为虚拟账号zzuser1。任务提出 为了保证Samba服务器的安全性,我们需要对Samba服务器进行安全配置,本次任务主要包括:2.客户端访问控制 对于共享目录的访问控制,除了可以用valid users字段控制访问账号外,还可以控制允许访问该共享目录的客户端
18、。在【任务三】的共享目录中,禁止192.168.1.0网段的用户访问,但允许IP地址为192.168.1.101的用户访问。任务提出 为了保证Samba服务器的安全性,我们需要对Samba服务器进行安全配置,本次任务主要包括:3.访问共享目录的权限 除了对客户端访问进行有效控制外,还需要控制客户端访问资源的权限。对于【任务三】中的共享目录,设置只有boss账户和gtech组的用户有写入的权限,其他用户只有读取的权限。任务分析用户账号映射 开启账号映射功能是在配置文件中添加username map字段,并创建smbusers文件,在该文件中加入:Samba账号=虚拟账号(映射账号)任务分析客户端
19、访问控制 要对客户端进行访问控制,需要用到hosts allow和hosts deny字段,设置方法为在配置文件中添加:hosts allow=允许访问的客户端IP、网段或域名 hosts deny=禁止访问的客户端IP、网段或域名注意:(1)如果有多个IP或网段时,可以用空格隔开。(2)如果在一个网段中排除少数几个IP,也可以使用EXCEPT,如hosts allow=192.168.1.0/24 EXCEPT 192.168.1.101。(3)将hosts allow和hosts deny写在global定义中,对所有共享目录生效,将它们写在某个共享目录中,只对该共享目录生效。任务分析访问
20、共享目录的权限 如果想指定某些人能写入,而其他人只能读取,则需要使用write list字段。在相应的共享目录中加入:write list=允许写入的用户账号和用户组 如果有多个用户账号或用户组,用逗号隔开。任务实施用户账号映射步骤1 修改配置文件。任务实施用户账号映射步骤2 修改smbuser文件。任务实施用户账号映射步骤3 重启smb服务。任务实施用户账号映射步骤4 在Linux客户端进行测试。任务实施客户端访问控制步骤1 修改配置文件。任务实施客户端访问控制步骤2 重启smb服务。任务实施客户端访问控制步骤3 在客户端进行测试。Samba服务器本身的IP地址为192.168.1.100,
21、是在禁止访问的IP网段中,因此,在Samba服务器上使用客户端访问,会发现禁止访问的提示。任务实施访问共享目录的权限步骤1 修改配置文件。任务实施访问共享目录的权限步骤2 重启smb服务。步骤3 在客户端进行测试。任务总结本次任务我们就Samba服务器的一些安全设置进行了配置,以提高Samba服务器的安全性能。同步训练为保证公司Samba服务器的安全性,需要将user2账户映射成虚拟账户myuser2,整个Samba服务器只允许192.168.1.0/24网段用户访问且192.168.1.101用户不允许访问,名为zztech的共享目录只允许user2写入,其他用户只允许读取。请配置Samba服务器实现上述功能。
