原文地址：http://hi.baidu.com/xfenoo/blog/item/85e51a3c9b6ef708baa167ba.html

                                    [RHEL5企業(yè)級Linux服務(wù)攻略]--第2季 二卷

4 Samba高級服務(wù)器配置
上面偶說了下samba滴常規(guī)配置哈，這些已經(jīng)可以使用企業(yè)內(nèi)部滴資料通過網(wǎng)絡(luò)共享并分配適當(dāng)?shù)喂蚕頇?quán)限來管理共享目錄，但這僅僅對于 很多大型企業(yè)或安全要求高滴來說還是不能滿足其需求哈，所以偶下面就來講下samba滴高級服務(wù)器配置讓我們搭建滴samba服務(wù)器功能更強(qiáng)大，管理更靈 活，我們滴數(shù)據(jù)也更安全哈~
4.1 用戶賬號映射
前面已經(jīng)說過，samba的用戶賬號信息是保存在smbpasswd文件中滴，而且可以訪問samba服務(wù)器的賬號也必須對應(yīng)一個同名的系統(tǒng)賬號?；谶@ 一點，所以哈，對于一些hacker來說，只要知道samba服務(wù)器滴samba賬號，就等于是知道了Linux系統(tǒng)賬號，只要crack其samba帳 號密碼加以利用就可以攻擊samba服務(wù)器哈。所以我們要使用用戶賬號映射這個功能來解決這個問題哈~~~
用戶賬號映射這個功能需要建立一個賬號映射關(guān)系表，里面記錄了samba賬號和虛擬賬號的對應(yīng)關(guān)系，客戶端訪問samba服務(wù)器時就使用虛擬來登錄哈。
1）編輯主配置文件/etc/samba/smb.conf
在global下添加一行字段username map = /etc/samba/smbusers開啟用戶賬號映射功能。


2）編輯/etc/samba/smbusers
smbusers文件保存賬號映射關(guān)系，其有固定滴格式：
samba賬號 = 虛擬賬號（映射賬號）


賬號redking就是我們上面建立的samba賬號（同時也是Linux系統(tǒng)賬號），51cto及51blog就是映射滴賬號名（虛擬賬號），賬號 redking在我們訪問共享目錄時只要輸入51cto或51blog就可以成功訪問了，但是實際上訪問samba服務(wù)器的還是我們滴redking帳 號，這樣一來就解決了安全問題哈~我們繼續(xù)。
3）重啟samba服務(wù)：service smb restart


4）驗證效果哈~
輸入我們定義的映射賬號51cto，注意我們沒有輸入賬號redking哈~，映射賬號51cto滴密碼和redking賬號一樣哈~


現(xiàn)在就可以通過映射賬號瀏覽共享目錄了哈~


注意：強(qiáng)烈建議不要將samba用戶的密碼與本地系統(tǒng)用戶的密碼設(shè)置成一樣哈，可以避免非法用戶使用samba賬號登錄系統(tǒng)非法破壞哈~~~
4.2 客戶端訪問控制
對于samba服務(wù)器的安全性，我們已經(jīng)說過可以使用valid users字段去實現(xiàn)用戶訪問控制，但是如果企業(yè)龐大，存在大量用戶的話，這種方法操作起來就顯得比較麻煩哈~比如samba服務(wù)器共享出一個目錄來訪 問，但是要禁止某個IP子網(wǎng)或某個域的客戶端訪問此資源，這樣滴情況使用valid users字段就無法實現(xiàn)客戶端訪問控制。
下面我們就講下使用hosts allow和hosts deny兩個字段來實現(xiàn)該功能。而用好這兩個字段滴關(guān)鍵在于熟悉和清楚它們的使用方法和作用范圍哈
hosts allow 和 hosts deny 的使用方法
1）hosts allow 和 hosts deny 字段的使用
hosts allow 字段定義允許訪問的客戶端
hosts deny 字段定義禁止訪問的客戶端
2）使用IP地址進(jìn)行限制
比如公司內(nèi)部samba服務(wù)器上共享了一個目錄sales，這個目錄是存放銷售部的共享目錄，公司規(guī)定192.168.0.0/24這個網(wǎng)段的IP地址禁止訪問此sales共享目錄，但是其中192.168.0.24這個IP地址可以訪問。
先將安全級別模式由user改為share


這里我們添加hosts deny和hosts allow字段
hosts deny = 192.168.0. 表示禁止所有來自192.168.0.0/24網(wǎng)段的IP地址訪問
hosts allow = 192.168.0.24 表示允許192.168.0.24這個IP地址訪問
當(dāng)host deny和hosts allow字段同時出現(xiàn)并定義滴內(nèi)容相互沖突時，hosts allow優(yōu)先?，F(xiàn)在設(shè)置的意思就是禁止C類地址192.168.0.0/24網(wǎng)段主機(jī)訪問，但是允許192.168.0.24主機(jī)訪問。


測試下效果，如果是192.168.0.24的客戶端就可以正常訪問


如果是其他客戶端滴話就是這樣的效果


如果想同時禁止多個網(wǎng)段滴IP地址訪問此服務(wù)器可以這樣設(shè)置
hosts deny = 192.168.1. 172.16. 表示拒絕所有192.168.1.0網(wǎng)段和172.16.0.0網(wǎng)段的IP地址訪問sales這個共享目錄。
hosts allow = 10. 表示允許10.0.0.0網(wǎng)段的IP地址訪問sales這個共享目錄。
注意：當(dāng)需要輸入多個網(wǎng)段IP地址的時候，需要使用“空格”符號隔開。


3）使用域名進(jìn)行限制
我們來看這樣一個例子哈，公司samba服務(wù)器上共享了一個目錄public，公司規(guī)定.sale.com域和.net域的客戶端不能訪問，并且主機(jī)名為free的客戶端也不能訪問。
hosts deny = .sale.com .net free 表示禁止.sale.com域和.net域及主機(jī)名為free的客戶端訪問public這個共享目錄。
注意：域名和域名之間或域名和主機(jī)名之間需要使用“空格”符號隔開。


4）使用通配符進(jìn)行訪問控制
samba服務(wù)器共享了一個目錄security，規(guī)定所有人不允許訪問，只有主機(jī)名為boss的客戶端才可以訪問。對于這樣一個實例哈，我們就可以通過使用通配符的方式來簡化配置。
hosts deny = All 表示所有客戶端，并不是說允許主機(jī)名為ALL的客戶端可以訪問哈~~~
常用的通配符還有“*”，“？”，“LOCAL”等。


還有一種比較有意思的情況，如果我們規(guī)定所有人不能訪問security目錄，只允許192.168.0.0網(wǎng)段的IP地址可以訪問，但是 192.168.0.100及192.168.0.78的主機(jī)是要禁止訪問滴。我們可以使用hosts deny禁止所有用戶訪問，再設(shè)置hosts allow允許192.168.0.0網(wǎng)段主機(jī)，但當(dāng)hosts deny和hosts allow同時出現(xiàn)而且沖突滴時候，hosts allow生效，如果這樣滴話，那么允許192.168.0.0網(wǎng)段的IP地址可以訪問，但是192.168.0.100及192.168.0.78的主 機(jī)禁止訪問就無法生效了哈~我們可以使用EXCEPT進(jìn)行設(shè)置。
hosts allow = 192.168.0. EXCEPT 192.168.0.100 192.168.0.78 表示允許192.168.0.0網(wǎng)段IP地址訪問，但是192.168.0.100和192.168.0.78除外哈~


hosts allow 和 hosts deny 的作用范圍
hosts allow和hosts deny設(shè)置在不同的位置上，它們的作用范圍是不一樣滴。如果設(shè)置在[global]里面，表示對samba服務(wù)器全局生效哈，如果設(shè)置在目錄下面，則表只對這個目錄生效。


這樣設(shè)置表示只有192.168.0.88才可以訪問samba服務(wù)器，全局生效哈~


這樣設(shè)置就表示只對單一目錄security生效，只有192.168.0.88才可以訪問security目錄里面的資料。
4.3 設(shè)置Samba的權(quán)限
到這里我們已經(jīng)可以對客戶端訪問進(jìn)行有效的控制，但是對于能訪問的客戶端來說，我們還是不能靈活方便滴控制他們訪問共享資源的權(quán)限，比如boss或gm這 樣的賬號可以對某個共享目錄具有完全控制權(quán)限，其他賬號只有只讀權(quán)限哈，這樣的情況我們就可以使用write list字段來實現(xiàn)哈~
例如公司samba服務(wù)器上有個共享目錄tech，公司規(guī)定只有boss賬號和tech組的賬號可以完全控制，其他人只有只讀權(quán)限。如果只用 writable字段則無法滿足這個實例的要求，因為當(dāng)writable = yes時，表示所有人都可以寫入了哈，而當(dāng)writable = no時表示所有人都不可以寫入。這時我們就需要用到write list字段哈~


write list = boss,@tech 就表示只有boss賬號和tech組成員才可以對tech共享目錄有寫入權(quán)限哈（其中@tech就表示tech組）。
我們來看下writable和write list之間的區(qū)別：

5 Samba客戶端配置
5.1 Linux客戶端訪問Samba共享
linux客戶端訪問服務(wù)器主要有兩種方法
1）使用smbclient命令
在Linux中，samba客戶端使用smbclint這個程序來訪問samba服務(wù)器時，先要確?？蛻舳艘呀?jīng)安裝了samba-client這個rpm包。

smbclient可以列出目標(biāo)主機(jī)共享目錄列表
smbclient命令格式：smbclient -L 目標(biāo)IP地址或主機(jī)名 -U 登錄用戶名%密碼
當(dāng)我們查看rhel5(192.168.0.188)主機(jī)的共享目錄列表時，提示輸入密碼，這時候可以不輸入密碼哈，我們直接按回車，這樣表示匿名登錄，然后就會顯示匿名用戶可以看到的共享目錄列表了哈~
smbclient -L rhel5或者smbclient -L 192.168.0.188

如果想使用samba賬號相看samba服務(wù)器端共享了什么目錄，我們可以加上-U參數(shù)哈~，后面跟上用戶名%密碼。
smbclient -L 192.168.0.188 -U boss%boss
這樣就顯示了只有boss賬號才顯示的tech技術(shù)部共享目錄。

注意：不同用戶使用smblient瀏覽的結(jié)果可能是不一樣滴，這要根據(jù)服務(wù)器設(shè)置的訪問控制權(quán)限而定哈~
我們還可以在使用smbclient命令行共享訪問模式瀏覽共享的資料哈
smbclient命令行共享訪問模式命令格式：
smbclient //目標(biāo)IP地址或主機(jī)名/共享目錄 -U 用戶名%密碼
上面已經(jīng)顯示了服務(wù)器上有一個tech共享目錄，我們來查看一下里面的內(nèi)容哈~

另外smbclient登錄samba服務(wù)器后，我們可以使用help查詢所支持的命令。

2）使用mount命令掛載共享目錄
mount命令掛載共享目錄格式：
mount -t cifs //目標(biāo)IP地址或主機(jī)名/共享目錄名稱 掛載點 -o username=用戶名
[root@client ~]# mount -t cifs //192.168.0.188/tech /mnt/sambadata/ -o username=boss%boss
這表示掛載192.168.0.188主機(jī)上的共享目錄tech到/mnt/sambadata目錄下，cifs就是samba所使用的文件系統(tǒng)哈

5.2 Windows客戶端訪問Samba共享
這個就比較簡單了哈，我們也一直用這個訪問微軟的共享目錄哈，上面其他也已經(jīng)講過了哈，方法就是在開始運(yùn)行里面使用UNC路徑直接進(jìn)行 訪問哈~~也可以到網(wǎng)上鄰居里面找，但是偶不太喜歡用這個方法，因為速度太慢哈。還是覺得在開始--運(yùn)行或是直接在資源管理器或IE的地址欄里面輸入 UNC路徑比較快哈~
1）在開始--運(yùn)行里面使用UNC路徑直接進(jìn)行訪問


2）映射網(wǎng)絡(luò)驅(qū)動器訪問samba服務(wù)器共享目錄

輸入tech共享目錄的地址

輸入可以訪問tech共享目錄的samba賬號和密碼

這時在我的電腦的網(wǎng)絡(luò)驅(qū)動器中就可以看到映射的Z盤了哈~

打開Z盤就可以訪問tech共享目錄里面的資源。

6 Samba的打印共享
默認(rèn)情況下，samba的打印服務(wù)是開放滴~所以我們只要把打印機(jī)安裝好后客戶端的用戶就可以使用打印機(jī)了。
1）設(shè)置global配置項
修改smb.conf全局配置，開啟打印共享功能

2）設(shè)置printers配置項

使用默認(rèn)設(shè)置就可以讓客戶端正常使用權(quán)打印機(jī)了哈，需要注意的就是printable一 定要設(shè)置成yes哈，如果不設(shè)置成yes那還打什么哈~~~path字段定義打印機(jī)隊列，可以根據(jù)需要自己定制哈，另外共享打印和共享目錄不一樣哈，安裝 完打印機(jī)后必須重新啟動samba服務(wù)，否則客戶端可能無法看到共享的打印機(jī)。如果設(shè)置只允許部分員工使用打印機(jī)，我們可以使用valid users、hosts allow或hosts deny字段來實現(xiàn)哈，這些在講共享目錄時已經(jīng)說過了，不清楚可以再翻翻看哈~~下面進(jìn)入samba企業(yè)實戰(zhàn)與應(yīng)用。
7 Samba企業(yè)實戰(zhàn)與應(yīng)用
7.1 企業(yè)環(huán)境及需求
samba服務(wù)器目錄：
企業(yè)數(shù)據(jù)目錄：/companydata
公共目錄：/companydata/share
銷售部目錄：/companydata/sales
技術(shù)部：/companydata/tech
企業(yè)員工情況：
總經(jīng)理：gm
銷售部：銷售部經(jīng)理 redking、員工 sky、員工 jane
技術(shù)部：技術(shù)部經(jīng)理 michael、員工 bill、員工 joy
搭建samba文件服務(wù)器，建立公共共享目錄，允許所有人訪問，權(quán)限為只讀，為銷售部和技術(shù)部分別建立單獨(dú)的目錄，只可以總經(jīng)理和相應(yīng)部門員工訪問，并且公司員工禁止訪問非本部門的共享目錄。這是個典型的企業(yè)文件服務(wù)器案例哈。
總經(jīng)理-----------------------
                                       |
銷售部-------------------交換機(jī)--------------------samba服務(wù)器
                                       |
技術(shù)部-----------------------
7.2 需求分析
對于建立公共目錄public字段就可以實現(xiàn)匿名訪問，員工只能訪問本部門的共享目錄，禁止訪問非本部門的共享目錄，我們可以通過設(shè)置 目錄共享字段“browseable = no”及字段“valid users”來實現(xiàn)其隱藏功能和相應(yīng)的訪問權(quán)限。這樣設(shè)置不能很好得解決同一目錄多種需求的權(quán)限設(shè)置，所以我們需要建立獨(dú)立配置文件，為每個部門建立一個 組后并為每個組建立配置文件來實現(xiàn)隔離用戶權(quán)限會比較靈活哈~
7.3 解決方案
1）建立各部門專用共享目錄
使用mkdir建立需求的共享目錄以便分門別類的存儲相應(yīng)資料。

同時設(shè)置/companydata共享目錄的用戶權(quán)限

2）添加samba服務(wù)器描述及設(shè)置smbpasswd文件

默認(rèn)/etc/samba/目錄下沒有smbpasswd文件,我們要先關(guān)閉samba的tdbsam驗證。
解決方法：在smb.conf文件中注釋掉passdb backend = tdbsam 一行，加上smb passwd file = /etc/samba/smbpasswd，然后保存退出。



3)添加用戶和組
先建立銷售部組sales，技術(shù)部組tech，然后使用useradd命令添加總經(jīng)理賬號gm及各個員工的賬號并加入相應(yīng)的用戶組。

接著使用smbpasswd命令添加samba用戶

呃~~~不好意思哈~~~賬號gm的samba用戶忘記添加了，現(xiàn)在補(bǔ)上哈~

4）配置smb.conf文件
（1）建立單獨(dú)配置文件
用戶配置文件使用用戶名命令哈，組配置文件使用組名命令。

（2）設(shè)置主配置文件smb.conf
這里我們配置smb.conf主配置文件，在global中添加相應(yīng)字段哈，確保samba服務(wù)器的主配置文件可以調(diào)用獨(dú)立的用戶配置文件和組配置文件。
include = /etc/samba/%U.smb.conf表示使samba服務(wù)器加載/etc/samba目錄下格式為“用戶名.smb.conf”的配置文件。
include = /etc/samba/%G.smb.conf表示使samba服務(wù)器加載/etc/samba目錄下格式為“組名.smb.conf”的配置文件。

設(shè)置共享目錄/companydata/share

（5）設(shè)置總經(jīng)理gm配置文件
vim /etc/samba/gm.smb.conf

（6）設(shè)置銷售部組sales配置文件
vim /etc/samba/sales.smb.conf

（7）設(shè)置技術(shù)部組tech配置文件
vim /etc/samba/tech.smb.conf

（8）開啟samba服務(wù)
service smb start

（9）測試
我們先用gm賬號登錄測試

可以全部看到共享目錄。

/companydata/share目錄只讀

注意：
最好禁用RHEL5中的selinux功能，否則會出現(xiàn)些莫名其妙滴問題，比如下面的賬號gm明明對共享目錄sales和tech是777的權(quán)限，但就是只能創(chuàng)建文件卻不能創(chuàng)建文件夾哈~

關(guān)閉selinux，打開selinux配置文件/etc/selinux/config設(shè)置selinux = disabled后保存退出并重啟系統(tǒng)。

查看selinux當(dāng)前狀態(tài)sestatus -v

現(xiàn)在我們就可以創(chuàng)建文件夾了

現(xiàn)在我們以其他賬號測試，就用技術(shù)部joy吧

在這里技術(shù)部的員工就看不到銷售部的共享目錄。同時對public目錄只讀權(quán)限，對tech目錄有讀寫權(quán)限。

因為禁止對共享目錄sales訪問，就算知道了[url=file://..rhel5.sales/]\\rhel5\sales[/url]路徑也是不能訪問滴

8 Samba排錯
1）Linux服務(wù)一般滴排錯方法
（1）錯誤信息
一般仔細(xì)看下顯示的錯誤信息，根據(jù)錯誤提示一般滴問題就可以判斷問題出在什么地方了。
（2）配置文件
第2個我們可以查配置文件，有時可能誤操作導(dǎo)致配置失誤，服務(wù)無法正常運(yùn)行，我們可以通過檢查配置文件來確認(rèn)問題?，F(xiàn)在很多服務(wù)的軟件包有自帶配置文件檢查工具，我們可以通過這些工具對配置文件進(jìn)行檢查哈~
（3）日志文件
如果服務(wù)出現(xiàn)問題，我們還可以使用tail命令來動態(tài)監(jiān)控日志文件（在CLI狀態(tài)下可以使用Ctrl+Alt+F1~F6切換到另一個CLI文字終端下查看）。
tail -F /var/log/messages
2）samba服務(wù)故障排錯
（1）使用testparm命令檢查
上面偶提到軟件包有自帶的配置文件檢查工具，我們可以使用testparm命令檢測smb.conf文件的語法，如果報錯，說明smb.conf文件設(shè)置有錯誤哈，這樣我們可以根據(jù)提示信息來修改主配置文件和獨(dú)立配置文件。
testparm /etc/samba/smb.conf