/etc/samba/
-rw-r--r--. 1 root root 20 Jun 3 11:53 lmhosts
-rw-r--r--. 1 root root 9778 Jun 1 20:28 smb-backup.conf
-rw-r--r--. 1 root root 10075 Jun 2 19:10 smb.conf
-rw-r--r--. 1 root root 118 Jun 2 19:06 smbusers
可以 #man smb.conf 检测一下自己的英文
/etc/Samba/smb.conf
这是Samba服务的主配置文件,由全局设置(Global Settings)和共享定义(Share Definitions)
两部分组成无集结Samba服务器工作在下节将要介绍的哪种模式,都需要配置这个主配置文件。各种不
同工作模式下的Samba 主配置文件的配置方法将在本章后面介绍。
/etc/Samba/lmhosts
这个主机配置文件,提供了局域网内主机的NetBIOS名与IP地址的对应。此文件中每一行对应一个主机
的IP地址和NetBIOS计算机名的记录。前面是主机的IP地址,后面是这个IP地址对应主机的NetBIOS名称,
中间用空格分隔。为了使Linux系统主机能识别这种主机名,需要用户将局域网中的Windows NetBIOS主
机名与IP地址的对应关系列入此文件中,一定要包括作为Samba服务器的Linux系统主机本身,因为Samba
服务器就是依据这个配置文件来识别不同系统主机的。但是,通常在启动Samba服务进程时就能自动捕捉
到 网络中相关IP地址对应的NetBIOS名,自动在lmhosts文件中添加这些映射关系,所以通常是不需要专门
配置这个配置文件的。
/etc/Samba/smbpasswd
该配置文件又称Samba服务器的密码文件,用于工作在user模式下的Samba服务器配置中。此文件在Samba
服务安装后是不存在的,需要使用smbpasswd命令创建。由于Samba服务和Linux操作系统使用不同的密码
文件,因此Linux操作系统中的用户账户不能直接登录Samba 服务器,需要为Linux用户创建新的Samba用户
账号和密码。在管理员第一次使用smbpasswd命令创建Samba服务的账户时,会自动创建这个 smbpasswd
文件。smbpasswd命令的用法具体也将在本章后面介绍。
目前在最新版本的Linux系统核心中该文件改成为了/etc/Samba/passdb.tdb,以数据库方式存储,而不是以文
本的方式存储,提高了安全性。不过在此仍以/etc/Samba/smbpasswd为例进行介绍。
etc/Samba/smbusers
该配置文件又称Samba服务器的用户文件,也是用于工作在user模式下的Samba服务器配置的。此文件提供
了外部登录名与本地用户名的映射关系,使得访问Samba服务器的用户名与本地Linux系统账户没有一个完全
的一对一对应关系,有效地防止了使用访问Samba服务器的账户攻击 Linux系统主机的可能性。所谓用户映射
是指将用户在Windows或客户端Linux系统中的不同账户映射为一个Samba服务器的用户账户。映射后的
Windows账户或客户端Linux账户在连接Samba服务器时,就可以直接使用他们自己的账户(而不是直接使用
Samba服务器所在Linux系统的用户账户)进行访问了。
设置用户映射需要在Samba主配置文件smb.conf中进行修改,全局参数username map控制用户映射。通过
该参数指定一个映射文件,默认情况下,这个映射文件就是/etc/Samba/smbusers。因此,需要在smb.conf
文件中做如下设置:username map = /etc/samb/smbusers,记得将默认配置文件中该语句前面的注释符
号#去掉,然后编辑/etc/Samba/smbusers文件,将需要进行映射的用户添加到文件中。参数格式如下:
Linux系统用户账户 = 需要映射的Windows或Linux账户列表
一个Samba服务器所在Linux系统账户映射多个账户时,用户名间需要用空格分隔。也就是说,多个Windows
或客户端Linux系统用户账户可以映射为同一个Samba账户。例如:
1. Samba = SMB_name1 SMB_name2 …)
2. root = administrator admin
3. nobody = guest pcguest smbguest
有关etc/Samba/smbusers文件的配置也将在本章后面介绍。
/etc/Samba/secrets.tdb:存放Samba用户账户的加密密码。
Samba的用户认证主要通过/e/tc/Samba/smbpasswd和/etc /Samba/smbusers两个文件实现,其中
smbpasswd文件用于存放用smbpasswd -a命令将Linux本地账户生成的Samba账户和密码,而smhbusers
文件用于存放、设置Windows用户和Linux本地账户的映射,便于 Windows账户直接访问Samba服务器。
Samba服务器的工作模式及设置
7.1.3 Samba服务器的工作模式及设置
在Samba主配置文件smb.conf中,一项重要的设置(security设置语句)就是Samba服务器的工作模式
(也称"安全级别")的设置。其实也就是Samba服务器与Windows服务器之间的5种协调工作方式。这5种
工作模式就是share、user、server、domain和 ads。下面分别介绍这5种工作模式的具体含义。
share(共享模式)
在这种模式下,用户对Samba服务器的访问无须进行身份验证,也就是不用输入用户名和密码(也就是允许
匿名访问)用户的访问权限仅由相应用户对共享文件的访问权限决定。这是最简单,但也是最不安全的一种
Samba服务器访问方式。除非是很小的网络,一般不这样设置。
如果要设置成该模式,在主配置文件smb.conf中只需要把security语句设置成以下格式即可:
1. security = share
user(用户模式)
在这种模式下,用户对Samba服务器的访问是由Samba服务器依据本地账户数据库对访问用户进行身份验证
的,安全级别比share模式高一些。这就要求每个访问用户必须在Samba服务器上有它本地的Linux用户账户
(前面说了,多个Windows账户可以映射成一个Linux账户,可以在 /etc/smb/smbusers文件中配置),当然也
可以为各需要权限的用户在Samba服务器中新建相应的用户账户。这是Samba服务器的默认设置。
设置user工作模式时需要对smb.conf主配置文件按如下格式修改:
1. security = user # 设置工作模式为user
2. guest account = smb # 指定来宾账户为Samba
(当然可以是其他账户名称,也是需要正
3. 确输入账户名和密码的)。出于安全考虑,通常不直
接采用guest作为来
4. 宾账户名。本语句需要新添加。如果不允许以来宾账户访问,则不用
5. 配置此语句。
6. encrypt passwords = yes # 设置对认证过程
中的用户口令进行加密。本语句也是需要新添加。
7. smb passwd file = /etc/Samba/smbpasswd # 设
置Samba服务器的密码文件名和路径。本语句也
8. # 需要新添加
当主配置文件smb.conf采用user模式设置后,需要设置Samba密码文件,建立smbpasswd文件中的用户账号
和口令,使其与/etc/passwd的账号和口令相同。
server(服务器模式)
在这种模式下,必须指定用于对Samba服务器中对共享文件进行访问的用户进行身份验证的服务器。这种
模式的用户访问是由其他专门的服务器对访问用户进行身份验证,安全级别又比user模式高一些。这个服务
器可以是Windows NT/2000/2003或其他Samba服务器。
Server模式与user模式其实是类似的,只不过实现身份验证的不是本地Samba服务器,而是网络中的其他
服务器。如果在指定的服务器上身份验证失败,则退到user安全级,采用本地Samba服务器对访问用户进行
身份验证。所以,从用户端来看,server模式和user模式没什么本质区别,只是用于身份验证的服务器的位
置不一样。
设置server模式时需要对smb.conf文件进行如下修改:
1. security = server # 设置工作模式为server
2. guest account = Samba # 指定来宾账户为Samba
(当然也可以是其他账户名称)。本语句需要新添加
3. password server = pwdserver # 指定用于身
份验证的服务器NetBIOS名称。本语句也需要新添加
4. encrypt passwords = yes # 指定用户口令在验
证过程中加密发送。本语句也需要新添加
5. smb passwd file = /etc/Samba/smbpasswd #
设置密码文件名和路径。本语句也需要新添加
domain(域模式)
这种模式是把Samba服务器加入到Windows域网络中,作为域中的成员。但在这种模式中,担当用户对
Samba服务器的访问身份验证的是域中的PDC(主域控制器),而不是Samba服务器。采用这种模式时,
主配置文件smb.conf需要进行以下修改(同时要用"#"符号注释掉默认文件中的
smb passwd file=/etc/samba/smbpasswd语句):
1. security = domain # 设置工作模式为domain
2. workgroup = domain # 指定Windows域名(NetBIOS格式)
3. password server = PDC_NAME # 指定担当身
份验证服务器的PDC的NetBIOS名称
ads(活动目录模式)
这是Linux系统Samba服务器的一种新工作模式(原来只有前4种),用于把Samba服务器加入到
Windows 2000 Server、Windows Server 2003活动目录域中,并具备活动目录域控制器的功能.
这时Samba服务器就相当于一台域控制器了,可以自己使用活动目录中的账户数据库对用户的访问进
行身份验证。
采用ads工作模式时,主配置文件smb.conf需要进行以下修改:
1. security = ads # 设置工作模式为ads
2. realm = MY_REALM # 指定Windows域名(DNS格式)
3. ads server = ads_server # 指定担当身份
验证服务器的服务器DNS名称
阅读(2927) | 评论(0) | 转发(0) |