Samba服務(wù)器配置與安全管理課件

單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),單擊此處編輯母版標(biāo)題樣式,*,第,8,章,Samba,服務(wù)器配置與安全管理,8.1 Samba,服務(wù)概述,1,Samba,簡(jiǎn)介,Samba,（,SMB,是其縮寫）,Samba,是一套讓,UNIX,系統(tǒng)能夠應(yīng)用,Microsoft,網(wǎng)絡(luò)通訊協(xié)議的軟件如圖,8-1,所示，,Samba,既可以用于,Windows,和,Linux,之間的資源共享，也一樣可用于,Linux/Unix,網(wǎng)絡(luò)內(nèi)部的資源共享圖,8-1 Samba,實(shí)現(xiàn)跨平臺(tái)的共享,Samba,提供了以下四大功能：,提供,Windows,風(fēng)格的文件和打印機(jī)共享：這是,Samba,的主要功能身份驗(yàn)證和授權(quán)：支持多種身份驗(yàn)證和權(quán)限設(shè)置模式，通過(guò)加密方式保護(hù)共享資源通過(guò)用戶登錄,Samba,主機(jī)時(shí)做身份驗(yàn)證，來(lái)提供不同身份者的個(gè)別數(shù)據(jù)支持,NetBIOS,名字解析及瀏覽：通過(guò),nmbd,服務(wù)可以搭建,NBNS,（,NetBIOS Name Service,）服務(wù)器，將計(jì)算機(jī)的,NetBIOS,名解析為,IP,地址為客戶提供網(wǎng)上鄰居瀏覽服務(wù)：,Samba,服務(wù)器可以成為局域網(wǎng)中的主瀏覽服務(wù)器（,LMB,），保存可用資源列表，為客戶端提供瀏覽列表的服務(wù)。

8.1 Samba,服務(wù)概述,2,Samba,的工作原理,（,1,）,Samba,工作流程,步驟,1,：協(xié)議協(xié)商,步驟,2,：建立連接,步驟,3,：訪問(wèn)共享資源,步驟,4,：斷開(kāi)連接,（,2,）,Samba,相關(guān)進(jìn)程,Samba,服務(wù)是由兩個(gè)進(jìn)程組成，分別是,nmbd,和,smbd,8.1 Samba,服務(wù)概述,8.2,案例導(dǎo)學(xué)實(shí)現(xiàn)默認(rèn)的文件和打印共享,8.2.1,安裝,1,準(zhǔn)備工作,在,RHEL 5,中提供的與,Samba,服務(wù)相關(guān)的軟件包有以下幾個(gè)：,samba-common,：包含通用工具和庫(kù)文件服務(wù)器和客戶端都需要安裝該軟件包samba,：,Samba,服務(wù)的主程序包Samba,服務(wù)器端必須安裝該軟件包samba-client,：連接服務(wù)器和連接網(wǎng)上鄰居的客戶端工具，并包含其測(cè)試工具Samba,客戶端必須安裝該軟件包samba-swat,：,Samba,的,Web,配置工具支持通過(guò)瀏覽器對(duì),Samba,服務(wù)器進(jìn)行圖形化管理8.2,案例導(dǎo)學(xué)實(shí)現(xiàn)默認(rèn)的文件和打印共享,2,安裝,（,1,）安裝,Samba,主程序包,（,2,）安裝,Samba,客戶端工具,（,3,）安裝,Samba,通用工具和庫(kù)文件,（,4,）安裝,Samba,圖形化管理工具,8.2,案例導(dǎo)學(xué)實(shí)現(xiàn)默認(rèn)的文件和打印共享,3,了解軟件包安裝的文件,用命令“,rpm-ql samba,”可以查詢到,samba,軟件包所生成的文件。

主要有：,/etc/pam.d/samba,：,samba,用戶的,pam,認(rèn)證文件,/etc/rc.d/init.d/smb,：,samba,服務(wù)的啟動(dòng)腳本,/etc/samba/smbusers,：虛擬用戶與,samba,用戶的映射文件,/usr/bin/mksmbpasswd.sh,：將系統(tǒng)帳號(hào)轉(zhuǎn)換為,samba,帳號(hào)的腳本文件,/usr/bin/smbstatus,：顯示,samba,服務(wù)器的連接狀態(tài),8.2,案例導(dǎo)學(xué)實(shí)現(xiàn)默認(rèn)的文件和打印共享,用命令“,rpm-ql samba-client,”可以查詢到,samba-client,軟件包所生成的工具主要有：,/sbin/mount.cifs,：掛載,samba,文件系統(tǒng),/sbin/umount.cifs,：卸載,samba,文件系統(tǒng),/usr/bin/nmblookup,：,NetBIOS,名字查詢工具，類似,nslookup,/usr/bin/smbclient,：提供訪問(wèn),Samba,服務(wù)器的命令行實(shí)用程序可以用于運(yùn)行,SMB,協(xié)議的計(jì)算機(jī)之間復(fù)制文件以及從,SMB,服務(wù)器上備份文件,/sbin/mount.cifs,：將遠(yuǎn)程共享文件和目錄掛載到本地，用,mount,命令也可以實(shí)現(xiàn),/usr/bin/smbtree,：顯示局域網(wǎng)中的共享主機(jī)和目錄列表,8.2,案例導(dǎo)學(xué)實(shí)現(xiàn)默認(rèn)的文件和打印共享,用命令“,rpm-ql samba-common,”可查詢到,samba-common,軟件包生成的工具。

主要有：,/etc/samba,：,Samba,服務(wù)器上用來(lái)存放配置文件的位置,/etc/samba/lmhosts,：用于本地解析,NetBIOS,名字與對(duì)應(yīng)的,IP,地址,/etc/samba/smb.conf,：,Samba,服務(wù)器的主配置文件,/usr/bin/smbpasswd,：管理,samba,用戶帳戶和密碼,/usr/bin/testparm,：檢查配置文件,smb.conf,語(yǔ)法的正確性,/var/log/samba,：,Samba,服務(wù)器上用來(lái)存放,Samba,的日志文件的位置,Samba,服務(wù)器的主配置文件“,/etc/samba/smb.conf,”是安裝軟件包時(shí)自動(dòng)產(chǎn)生的，可以在啟動(dòng),Samba,服務(wù)器后直接使用8.2,案例導(dǎo)學(xué)實(shí)現(xiàn)默認(rèn)的文件和打印共享,8.2.2,使用默認(rèn)配置的,Samba,服務(wù)器,1,Samba,主配置文件,主配置文件文件“,smb.conf,”在服務(wù)器和客戶機(jī)上都是需要的按結(jié)構(gòu)分為兩部分：一是以“,Global Settings,”為標(biāo)識(shí)的全局設(shè)置區(qū)域，針對(duì)整個(gè),Samba,服務(wù)器有效二是以“,Share Definitions,”為標(biāo)識(shí)的共享定義區(qū)域，只對(duì)特定的共享有效。

1,）全局設(shè)置區(qū)域的配置語(yǔ)句,（,2,）共享定義區(qū)域的配置語(yǔ)句,共享定義區(qū)域的設(shè)置對(duì)象為每個(gè)共享目錄和打印機(jī)，在方括號(hào)中設(shè)置其共享名如果我們想發(fā)布共享資源，需要對(duì)該區(qū)域進(jìn)行配置這里可能用到的字段非常豐富，設(shè)置靈活,主配置文件,:/etc/sabma/smb.conf,詳解,語(yǔ)法,workgtoup=;,預(yù)設(shè),workgroup=MYGROUP,說(shuō)明 設(shè)定,Samba Server,的工作組例,workgroup=workgroup,和,WIN2000S,設(shè)為一個(gè)組，可在網(wǎng)上鄰居可中看到共享,語(yǔ)法,server string=;,預(yù)設(shè),sarver string=Samba Server,說(shuō)明 設(shè)定,Samba Server,的注釋其他 支持變量,t%-,訪問(wèn)時(shí)間,I%-,客戶端,IP m%-,客戶端主機(jī)名,M%-,客戶端域名,S%-,客戶端用戶名例,server string=this is a Samba Server,設(shè)定出現(xiàn)在,Windows,網(wǎng)上鄰居的,Samba Server,注釋為,this is a Samba Server,語(yǔ)法,hosts aoolw=;.,預(yù)設(shè),;host allow=192.168.1.192.168.2.127.,說(shuō)明 限制允許連接到,Samba Server,的機(jī)器，多個(gè)參數(shù)以空格隔開(kāi)。

表示方法可以為完整的,IP,地址，如,192.168.0.1,網(wǎng)段，如,192.168.0.,例,hosts allow=192.168.1.192.168.0.1,表示允許,192.168.1,網(wǎng)段的機(jī)器 網(wǎng)址為,192.168.0.1,的機(jī)器 連接到自己的,samba server,語(yǔ)法,printcap name=;,預(yù)設(shè),printcap name=/etc/printcap,說(shuō)明 設(shè)定,samba srever,打印機(jī)的配置文件例,printcap name=/etc/printcap,設(shè)定,samba srever,參考,/etc/printcap,檔的打印機(jī)設(shè)定,語(yǔ)法,printing=;,預(yù)設(shè),printing=lprng,說(shuō)明 設(shè)定,samba server,打印機(jī)所使用的類型,37,行為目前所支持的類型,語(yǔ)法,guert account=;,預(yù)設(shè),guert account=pcguest,說(shuō)明 設(shè)定訪問(wèn),samba server,的來(lái)賓帳戶,(,即訪問(wèn)時(shí)不用輸入用戶名和密碼的帳戶,),若設(shè)為,pcguest,的話則為默認(rèn)為,nobody,用戶例,guert account=andy,設(shè)定設(shè)定訪問(wèn),samba server,的來(lái)賓帳戶以,andy,用戶登陸,則此登陸帳戶享有,andy,用戶的所有權(quán)限,語(yǔ)法,security=;,預(yù)設(shè),security=user,說(shuō)明 設(shè)定訪問(wèn),samba server,的安全級(jí)別 共有四種,share-,不需要提供用戶名和密碼,user-,需要提供用戶名和密碼,而且身份驗(yàn)證由,samba server,負(fù)責(zé),server-,需要提供用戶名和密碼,可指定其他機(jī)器,(winNT/2000/XP),或另一臺(tái),samba server,作身份驗(yàn)證,domain-,需要提供用戶名和密碼,指定,winNT/2000/XP,域服務(wù)器作身份驗(yàn)證,語(yǔ)法,password server=;,預(yù)設(shè),password server=;,說(shuō)明 指定某臺(tái)服務(wù)器,(,包括,windows,和,linux),的密碼,作為用戶登入時(shí)驗(yàn)證的密碼其他 此項(xiàng)需配合,security=server,時(shí),才可設(shè)定本參數(shù),65,行,username level,語(yǔ)法,password level=;username level=;,預(yù)設(shè),password level=8username level=8,說(shuō)明 設(shè)定用戶名和密碼的位數(shù),預(yù)設(shè)為,8,位字符,語(yǔ)法,encrypt passwords=;,預(yù)設(shè),encrypt passwords=yse,說(shuō)明 設(shè)定是否對(duì),samba,的密碼加密,語(yǔ)法,smb passwd file=;,預(yù)設(shè),smb passwd file=/etc/samba/smbpasswd,說(shuō)明 設(shè)定,samba,的密碼文件,語(yǔ)法,local master=;,預(yù)設(shè),local master=no,說(shuō)明 設(shè)定,samba server,是否要擔(dān)當(dāng),LMB,角色,(LMB,負(fù)責(zé)收集本地網(wǎng)絡(luò)的,Browse List,資源,),通常無(wú)特殊原因設(shè)為,no,語(yǔ)法,os level=;,預(yù)設(shè),os level=33,說(shuō)明 設(shè)定,samba server,的,os level.os level,從,0,到,255.winNT,的,os level,為,33,win95/98,的,os level,是,1.,若要拿,samba server,當(dāng),LMB,或,DMB,則它的,os level,至少要大于,NT,的,33,以上,語(yǔ)法,domain master=;,預(yù)設(shè),domain master=yes,說(shuō)明 設(shè)定,samba server,是否要擔(dān)當(dāng),DMB,角色,(DMB,會(huì)負(fù)責(zé)收集其他子網(wǎng)的,Browse List,資源,),通常無(wú)特殊原因設(shè)為,no,語(yǔ)法,preferred master=;,預(yù)設(shè),preferred master=yes,說(shuō)明 設(shè)定,samba server,是否要擔(dān)當(dāng),PDC,角色,(PDC,會(huì)負(fù)責(zé)追蹤網(wǎng)絡(luò)帳戶進(jìn)行的一切變更,),通常無(wú)特殊原因設(shè)為,no.(,同一網(wǎng)段內(nèi)不可有兩個(gè),PDC,他們會(huì)每,5,分鐘搶主控權(quán)一次,),語(yǔ)法,wins support=;,預(yù)設(shè),wins support=yes,說(shuō)明 設(shè)定,samba server,是否想網(wǎng)絡(luò)提供,WINS,服務(wù),通常無(wú)特殊原因設(shè)為,no.,除非所處網(wǎng)絡(luò)上沒(méi)有主機(jī)提供,WINS,服務(wù)且需要此臺(tái),samba server,提供,WINS,服務(wù)是才設(shè),yes,其他,wins support,和,wins server,只能選擇一個(gè),語(yǔ)法,wins server=;,預(yù)設(shè),wins server=,說(shuō)明 設(shè)定,samba server,是否要使用別臺(tái)主機(jī)提供的,WINS,服務(wù),.,通常無(wú)特殊原因設(shè)為,no.,除非所處網(wǎng)絡(luò)上有一臺(tái)主機(jī)提供,WINS,服務(wù)才要設(shè),yes,其他,wins support,和,wins se。