使用Samba服务器构建私有和公共共享目录
实验背景:
小诺公司使用RHEL4系统构建了Linux服务器,并在该服务器上默认安装了Samba服务器及相关软件包作为该公司的文件服务器。公司现在需要为所有 用户建立一个公用文件夹作为所有员工交流用,其次为每个员工建立一个属于自己的共享文件夹,要求必须通过对应的账号和密码才能访问。本实验采用文件夹 public作为公用文件夹,而xiaonuo和dreamfire作为两个私人文件夹,对应的用户名和文件夹名相同。
实验步骤:
1、 Samba服务器的安装
RHEL4系统中默认安装了Samba服务器和客户机的所有软件包,这些软件包都在RHEL4的第二张光盘中。如果需要可以使用rpm –ivh命令进行安装。
为了能够更好地理解samba服务器的相关配置可以通过man smb.conf进行查看帮助。
为了能够更清晰地查阅smb.com文件,可以使用grep –v命令去除注释行和样例行的内容。
2、 Samba用户账号及用户目录设置
2.1、删除用户配置文件模板里的文件
在smb.conf配置文件中,[homes]共享目录是Samba服务器默认提供配置的,也是比较特殊的共享设置。[homes]共享目录并不特指某个目录,而是表示Samba用户的宿主目录,即Samba用户登录后可以访问同名系统用户的宿主目录中的内容。
在宿主目录中,默认情况下会存在一些隐藏的用户配置文件,而在使用UNC路径访问的时候会出现这些隐藏的配置文 件,会对用户带来不便,而每个用户的配置文件都是从用户配置文件模板“/etc/skel/”中复制过去的,因此需要将模板里的配置文件都删除掉,这样, 建立的用户宿主目录里就不会存在任何文件。
2.2、建立Samba用户账号
Samba服务器不使用Linux系统的用户账号进行用户人在,而是维护自己的用户账户文件。Samba服务器 用户账户文件保持在“/etc/samba”目录中,文件名是smbpasswd,初始状态smbpasswd文件不存在,在第一次使用 smbpasswd命令创建Samba用户时自动建立。
使用smbpasswd命令的“-a”选项可以向smbpasswd文件中添加Samba用户账户,命令中需要 指定要添加的用户名作为参数,smbpasswd命令执行过程中会提示设置该Samba用户的口令。在建立Samba用户账户之前需要建立同名的 Linux系统用户账户。
注意:为了考虑安全性,Linux系统用户账户不需要设置密码,也登录不了系统。而在工作环境中,为了考虑安全性,Samba服务器只是充当文件服务器,只允许虚拟用户和管理员访问,其它用户是不允许登录的。
Smbpasswd命令参数详解:
-h:显示smbapasswd的命令格式帮助
-a:添加指定的用户账户
-d:禁用指定的用户账户
-e:启用指定的用户账户
-x:删除指定的用户账户
使用ls –a 可以查看宿主目录是否还有隐藏的文件。
2.3、添加公共目录public
要求任何用户都可以访问公共文件夹public,并且具有读写的权限。任何用户在公共目录中都以Linux中 nobody(nobody属于系统中存在的特殊用户,这个用户是不允许在系统中正常登录的)系统用户的身份出现,即在公共目录中任何用户建立的文件都属 于nobody系统用户。
2.4、smb.conf文件的全局配置
workgroup = xiaonuo.com 设置samba服务器所在的工作组的名称
server string = samba server 设置samba服务器的说明文字,用于描述samba主机
log file = /var/log/samba/%m.log 设置samba服务器的日志文件,“%m”变量表示客户端主机的名称。
Max log size = 50 设置日志文件的最大容量
Security = user 表示由提供服务的Samba服务器负责检测账户和密码,是Samba默认的安全设置。
Security = share 表示用户不需要账户及密码即可登入Samba服务器。
Security = server 表示检查账户及密码的工作指定由另一台Windows服务器或Samba服务器负责。
Security = domain 表示指定windows域控制服务器来验证用户的账户及密码。
2.5、smb.conf文件的局部配置
配置[homes]共享目录
comment用于设置共享的说明信息。
browseable设置为no表示所有samba用户的宿主目录都不能被看到,只有登录用户才能看到自己的宿主目录,这样设置可以加强samba服务器的安全性。
writable设置为yes表示用户可以对该共享目录写入,设置用户对自己的宿主目录具有写权限是比较合理的。
配置[public]共享目录
注意:在smb.conf中有[public]的配置模板,可参考进行配置
path = /home/public 设置public目录的共享路径
public = yes 表示该目录对于所有samba用户是可见的
only guest 设置为yes表示所有用户在使用该共享目录时的用户身份都是guest,即linux系统用户nobody。
writable设置为yes表示该共享目录对于用户可写。
2.6、对smb.conf文件配置的测试
在对smb.conf文件完成所有配置以后,可以使用testparm命令对该配置文件进行测试。testparm命令是samba服务器软件包中提供的配置文件测试工具,可以对smb.conf配置文件的语法进行检测,并显示当前配置的清单。
注意:testparm命令显示的配置清单可能与smb.conf中的配置内容稍有不同,这是由于 testparm命令对配置文件的内容进行了处理,文件中的默认值设置项的内容会被忽略。可以看出testparm命令显示的配置清单与smb.conf 文件中配置含义是完全相符的。
2.7、启动samba服务器
启动smb服务,相当于同时对smbd和nmbd两个服务器程序进行启动。
3、 使用windows客户端进行测试
在windows下使用UNC路径进行访问Samba服务器。
输入虚拟用户名和密码
可以看到公共共享目录public和登录的用户目录xiaonuo
xiaonuo用户可以在自己的目录里添加、修改、删除文件或文件夹也可以在public目录中添加、修改、删除文件或文件夹。
删除已有连接,然后使用dreamfire用户登录,可以看出,所有用户登录只能看到自己的目录以及共享目录,其它用户的目录是隐藏的,这样可以增加其安全性,避免一些用户使用宿主目录名称猜测密码。
4、 Samba WEB工具管理(swat)可以通过web界面管理samba服务器。
4.1、安装swat
Swat软件包位于RHEL4系统的第四张安装光盘中。
swat是受xinetd超级服务器管理的服务程序,在安装的默认状态下是禁用的,因此需要使用chkconfig命令启用swat服务,并重新启动xinetd服务程序。
4.2、配置swat
修改only_from = 200.200.200.100,也就是管理samba服务器的客户端的IP地址,从配置中可以看出访问的端口号为901,使用的用户为root,也可以修改为其它用户。
4.3、重新启动xinetd服务。
在Ip地址为200.200.200.100的主机上使用http://200.200.200.222:901/访问samba服务器,输入用户root以及对应的密码即可。