《Linux网络操作系统》课件 任务6 配置与管理Samba服务器

任务6配置与管理Samba服务器目录任务情境学习目标知识储备实践活动技能巩固Samba服务器网络拓扑图任务情境任务情境

邕盛科技公司组建了一个中小型网络，你是公司的系统管理员，现需要搭建一台Samba服务器，实现Windows和Linux不同系统间的资源共享，现创建一个名为share的共享目录，该共享目录下的资源允许所有员工访问，使内部信息交流更方便快捷；根据各部门的工作性质及数据保密性，现分门别类地创建各个部门的共享目录，并只允许本部门员工访问，外部员工无权访问。学习目标1231.掌握Samba服务器的概述和功能作用2.掌握Samba的环境及协议3.理解Samba的工作原理4.掌握安装配置Samba服务器的方法5.掌握访问权限的类型知识目标1.能够正确安装并启动Samba服务2.能够正确设置smb.conf配置文件3.能够正确配置Samba服务密码文件4.能够正确创建共享目录5.能够正确使用share安全级别模式，配置Samba6.能够正确设置用户账户映射7.能够正确使用IP地址、域名、通配符进行访问控制能力目标1.培养学生自主探究以及团队协作能力，形成职业实战能力2.培养学生求真务实、开拓进取、专研精神素质目标学习目标知识储备知识储备请同学们查阅本学习任务知识及相关资料，讨论与思考，Samba服务器有什么作用？想一想知识储备1.Samba概述

早期网络想要在不同主机之间共享文件，大多要用FTP协议来传输，但FTP协议仅能做到传输文件却不能直接修改对方主机的资料数据，这样确实不太方便，遇上便出现了NFS（NetworkFileSystem）文件共享程序。NFS是一个能够将多台Linux的远程主机数据挂载到本地目录的服务，属于轻量级的文件共享服务，不支持Linux与Windows系统间的文件共享。Samba最大的功能就是可以用于Linux与Windows系统之间的文件共享和打印共享，可以将其架设成一个功能非常强大的文件服务器，也可以将其架设成打印服务器提供本地和远程联机打印，甚至可以使用Sambaserver完全取代NT/2K/2K3中的域控制器，进行域管理工作。知识储备2.SMB协议SMB（ServerMessageBlock）通信协议可以看作是局域网上共享文件和打印机的一种协议。它是Microsoft和Intel在1987年制定的协议，主要是作为Microsoft网络的通信协议，而Samba则是将SMB协议搬到UNIX系统上来使用。通过“NetBIOSoverTCP/IP”，使用Samba不但能与局域网络主机共享资源，也能与全世界的计算机共享资源。因为互联网上千千万万的主机所使用的通信协议就是TCP/IP。SMB是在会话层和表示层以及小部分的应用层的协议，SMB使用了NetBIOS的应用程序接口API。知识储备请同学们查阅本学习任务知识及相关资料，讨论与思考。Samba服务器处理数据由哪几个进程组成？写一写知识储备3.Samba工作原理及进程想要了解Samba的工作原理，必须了解网络基本输入/输出系统（BetworkBasicInput/OutputSystem，NetBIOS）协议，因为Samba就是基于NetBIOS协议实现的。根据NetBIOS协议的规定，在一个局域网中进行通信的主机必须有一个唯一的名称，这个名称被称为NetBIOSName。NetBIOSName就像是计算机的“身份证号码”，用于在通信过程中标识通信双方的身份信息。在NetBIOS协议下，两台主机的通信一般要经历以下两个步骤。知识储备①登录对方主机。要想登录某台对方主机，必须将对方主机和自己的主机加入到相同的群组（workgroup）中。在这个群组中，每台主机都有唯一的NetBIOSName，通过NetBIOSName定位对方主机。②访问共享资源。根据对方主机提供的权限访问共享资源。有时候，即使能够登录对方主机，也不代表可以访问其所有资源，这取决于对方主机开放了哪些资源及每种资源的访问权限。知识储备Samba服务通过两个守护进程来支持以上两个步骤。①nmbd：用来处理和NetBIOSName相关的名称解析服务及文件浏览服务。可以把它看作Samba自带的域名解析服务。默认情况下，nmbd守护进程绑定到UDP的137和138端口上。②smbd：提交文件和打印机共享服务，以及用户验证服务，这是Samba服务的核心功能。默认情况下，smbd守护进程绑定到TCP的139和445端口上。正常情况下，当启动Samba服务后，主机就会启用137、138、139和445端口，并启用相应TCP/UDP监听服务。Samba服务器的工作原理，见图6-1。知识储备图6-1samba工作原理知识储备

4.Samba服务程序中的参数及其说明CentOS7的smb.conf配置文件已经很精简，只有37行左右。如果要更清楚地了解配置文件，可以研读smb.conf.example。Samba开发族按照功能不同，对smb.conf文件进行了分段划分，条理非常清楚，主配置文件的参数及其说明见表6-1。知识储备表6-1Samba服务程序中的参数及其说明

[global]

全局参数

参数作用workgroup=MYGROUP工作组名称，比如：workgroup=SmileGroup。serverstring=SambaServerVersion%v服务器描述，参数%v为显示SMB版本号logfile=/var/log/Samba/log.%m定义日志文件的存放位置与名称，参数%m为来访的主机名maxlogsize=50定义日志文件的最大容量为50KBsecurity=user安全验证的方式，总共有4种，比如：security=usershare来访主机无需验证口令；比较方便，但安全性很差user需验证来访主机提供的口令后才可以访问；提升了安全性，系统默认方式。server使用独立的远程主机验证来访主机提供的口令（集中管理账户）domain使用域控制器进行身份验证passdbbackend=tdbsam定义用户后台的类型，共有3种smbpasswd使用smbpasswd命令为系统用户设置Samba服务程序的密码tdbsam创建数据库文件并使用pdbedit命令建立Samba服务程序的用户ldapsam基于LDAP服务进行账户验证loadprinters=yes设置在Samba服务启动时是否共享打印机设备cupsoptions=raw打印机的选项知识储备表6-1Samba服务程序中的参数及其说明

[homes]

共享参数

参数共享参数comment=HomeDirectories描述信息browseable=no指定共享信息是否在“网上邻居”中可见writable=yes定义是否可以执行写入操作，与“readonly”相反[printers]打印机共享参数Printable=yes定义是否可以打印知识储备选一选请同学们查阅本学习任务知识及相关资料，讨论与思考。1）Samba所提供的安全性级别包括（

）。A.ShareB.userC.serverD.domain

2）下列（

）命令允许修改Samba用户的口令。A.PasswdB.mksmbpasswdC.passwordD.smbpasswd知识储备5.Samba服务密码文件Samba服务器发布共享资源后，客户端访问Samba服务器，需要提交用户名和密码进行身份验证，验证合格后才可以登录。Samba服务为了实现客户身份验证功能，将用户名和密码信息存放在/etc/Samba/smbpasswd文件中。在客户端访问时，将用户提交的资料与smbpasswd文件中存放的信息进行比对，如果相同并且符合Samba服务器的其他安全设置许可，客户端与Samba服务器连接才能建立成功。知识储备二、yum(YellowdogUpdater,Modified)介绍基于rpm包管理,能够从指定的服务器自动下载rpm包并且安装，可以自动处理依赖性关系，并且一次安装所有依赖的软件包。做一做请同学们查阅本学习任务知识及相关资料，讨论与思考。1）Samba的配置文件一般放在

目录中，主配置文件名为

。

2）请简述Samba服务器的应用环境。实践活动实践活动活动1匿名用户访问共享服务实例活动2用户口令访问共享服务实例活动1匿名用户访问共享服务实例活动要求邕盛科技公司现安装一台Samba服务器作为文件服务器，设置工作组为Workgroup，发布共享目录/share，共享名为share，在该共享目录下的资源可允许所有员工访问，通过配置security=share来让所有用户登录时采用匿名账户nobody访问，并只具有读取和执行的权限。实训环境配置参数需求，见表6-2。活动讨论请同学们查阅本学习任务知识及相关资料，思考讨论，Samba服务器的安全模式有哪些？表6-2实训环境主机名称操作系统IP地址角色server1CentOS7/24Samba服务器，NAT模式client1Windows100/24Windows客户端，NAT模式，测试Samba共享服务虚拟网卡VMnet8,IP地址/24活动1匿名用户访问共享服务实例活动准备1)启动虚拟机一台CentOS7系统和一台windows系统。2)登录CentOS7系统，管理员为root,密码是123456。3)设置主机名依次为sever1和client1。活动1匿名用户访问共享服务实例活动要点1.Samba的安全级别Samba的安全级别及其功能，见图6-3。安全等级功能share采用此等级时，用户不需要账号和密码即可登录Samba服务器。userSamba服务器默认的安全等级，每个登录的用户都需要提供账号和密码才能登录Samba服务器。

server在此等级下，当使用者从windows使用Samba服务器所提供的资源时，会传送登录“网上邻居”的账号和密码给Samba服务器，然后Samba会根据“passwordserver=”项目中所指定的主机验证是否正确。domain当执行的环境已经有了域控制器，为了统一起见可以将验证账号和密码的功能交给域控制器来处理，如此就不需要一一为每个账号在Samba服务器重新设定密码。表6-3安全等级活动1匿名用户访问共享服务实例活动要点2.共享服务常见字段共享服务常见字段及定义,见表6-4。表6-4共享服务常见字段常见字段定义comment备注信息，共享资源描述，方便用户查看时了解共享资源path绝对地址路径，共享资源的原始完整路径,务必正确指定public设置匿名访问，是否允许对共享资源进行匿名访问，yes代表允许；no代表禁止。readonly设置用户读写权限，yes代表只读，no代表可读写writable设置用户可写权限，yes代表可写代表可写，no代表只读。browseable设置客户端可浏览到共享目录，yes代表可浏览，no代表隐藏。validusers客户端访问控制，validusers=用户名,@组名代表设置可访问的用户和组

hostsallow表示可允许访问的IP子网hostsdeny表示被禁止访问的IP子网活动1匿名用户访问共享服务实例活动过程（略）技能巩固请同学根据前面学习的知识和技能，完成以下操作。邕盛科技公司已一个Samba服务器，根据需求现创建共享目录public，工作组为Workgroup，共享目录为/public，要求允许浏览、允许只读、允许所有员工匿名访问。活动2：用户口令访问共享服务实例活动要求

邕盛科技公司有多个部门信息资源交互，因研发部的数据涉及到企业内部重要客户信息，为防止数据外传泄露，保障客户信息安全，现需将研发部资料存放在Samba服务器的/companydata/yanfabu目录下集中管理。给每位研发人员设置Samba账户及口令，将全局配置中security设置为user安全级别，以启用Samba服务器的用户口令身份验证机制，在共享目录/companydata/yanfabu下设置validusers字段，要求只允许研发部门的员工能够访问这个共享目录，其他员工无权访问。实训环境配置参数需求，见表6-5。活动讨论请同学们思考，如何有效设置Samba账户？表6-5实训环境主机名称操作系统IP地址角色server1CentOS7/24Samba服务器，NAT模式client1Windows100/24Windows客户端，NAT模式虚拟网卡VMnet8,IP地址/24活动2：用户口令访问共享服务实例活动准备1)启动虚拟机一台CentOS7系统和一台windows系统。2)登录CentOS7系统，管理员为root,密码是123456。3)设置主机名依次为sever1和client1。活动2：用户口令访问共享服务实例活动要点1.chown命令利用chown将指定文件的拥有者改为指定的用户或组，用户可以是用户名或者用户ID；组可以是组名或者组ID；文件是以空格分开的要改变权限的文件列表，支持通配符。命令格式：chown[参数][要更改的用户名].[要更改的组名][文件或者路径