王惠

摘要：在Windows環(huán)境下可以通過(guò)網(wǎng)上鄰居訪問(wèn)局域網(wǎng)主機(jī)，而在Linux環(huán)境下則可以通過(guò)Samba客戶端訪問(wèn)局域網(wǎng)內(nèi)的Windows主機(jī)，也可以通過(guò)Samba服務(wù)器給Windows主機(jī)提供文件、打印機(jī)等服務(wù)。該文就是通過(guò)實(shí)例系統(tǒng)介紹了如何在Linux環(huán)境下架設(shè)和配置Samba服務(wù)器。

關(guān)鍵詞：Linux；Samba服務(wù)器；網(wǎng)絡(luò)互訪；共享資源；訪問(wèn)安全

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）04-0062-02

The Research and the Realization of Samba Server with Linux

WANG Hui

（Jiuzhou College of Vocation & Technology， Xuzhou 221116，China）

Abstract：Computers with Windows of LAN can be accessed through the Network Neighborhood. Computers with Linux can access ones that run Windows by Samba Client and supply services of files and printing by Samba Server. This article is mainly about how to build and configure Samba server with Linux.

Key words：Linux； Samba Server；access each other； share resources； the security of access

1 Samba服務(wù)器簡(jiǎn)介

計(jì)算機(jī)網(wǎng)絡(luò)最具吸引力的功能就是資源的共享。在Windows環(huán)境下我們可以通過(guò)網(wǎng)上鄰居實(shí)現(xiàn)不同計(jì)算機(jī)之間的相互訪問(wèn)，但是當(dāng)局域網(wǎng)中存在多種操作系統(tǒng)時(shí)，例如既有安裝Windows的計(jì)算機(jī)，又有安裝Linux的計(jì)算機(jī)，則需要Samba服務(wù)器實(shí)現(xiàn)它們之間的訪問(wèn)。Samba服務(wù)器可實(shí)現(xiàn)不同類型計(jì)算機(jī)之間文件和打印機(jī)的共享。Samba服務(wù)器可以使Windows用戶通過(guò)網(wǎng)上鄰居等方式直接訪問(wèn)Linux的共享資源，而Linux用戶也可通過(guò)Samba客戶端訪問(wèn)到Windows的共享資源[1]。

Samba有兩個(gè)核心守護(hù)進(jìn)程：smbd和nmbd。smbd守護(hù)進(jìn)程負(fù)責(zé)建立對(duì)話、驗(yàn)證用戶、提供文件和打印機(jī)共享服務(wù)等；nmbd守護(hù)進(jìn)程負(fù)責(zé)實(shí)現(xiàn)網(wǎng)絡(luò)瀏覽。smbd守護(hù)進(jìn)程負(fù)責(zé)建立對(duì)話、驗(yàn)證用戶、提交文件和打印機(jī)共享服務(wù)等；nmbd守護(hù)進(jìn)程負(fù)責(zé)實(shí)現(xiàn)網(wǎng)絡(luò)瀏覽。

2 Samba服務(wù)器的功能

文件共享和打印共享是Samba最主要的功能。Samba為了方便文件共享和打印共享，還實(shí)現(xiàn)了相關(guān)的控制和管理功能。具體來(lái)說(shuō)，Samba完成的功能有：

1）共享目錄：在局域網(wǎng)上共享某個(gè)或某些目錄，使得同一個(gè)網(wǎng)絡(luò)內(nèi)的Windows用戶可以在網(wǎng)上鄰居里訪問(wèn)該目錄，就跟訪問(wèn)某些網(wǎng)上鄰居里的其他Windows機(jī)器一樣。

2）共享打印機(jī)：在局域網(wǎng)上共享打印機(jī)，使得局域網(wǎng)的其他用戶可以使用Linux操作系統(tǒng)下的打印機(jī)。

3）目錄權(quán)限：決定每一個(gè)目錄可以由哪些人訪問(wèn)，具有哪些訪問(wèn)權(quán)限。Samba允許設(shè)置一個(gè)目錄讓一個(gè)人、某些人、組合和所有人訪問(wèn)。

4）打印機(jī)使用權(quán)限：決定哪些用戶可以使用計(jì)算機(jī)。

3 Samba服務(wù)器的配置

將Samba服務(wù)器相關(guān)的軟件包安裝完成后，Linux服務(wù)器和Windows客戶端之間還不能正?；ヂ?lián)。為了讓Samba服務(wù)器真正發(fā)揮作用，還需要正確地配置Samba服務(wù)器，例如指定Linux虛擬機(jī)的共享目錄、所在的工作組名稱、共享資源的訪問(wèn)控制、安全級(jí)別等。這些配置可以通過(guò)編輯/etc/samba/smb.conf實(shí)現(xiàn)，該文件結(jié)構(gòu)主要包括三部分：全局參數(shù)部分、目錄共享部分、打印共享部分。

3.1共享資源的訪問(wèn)控制

3.1.1瀏覽權(quán)

訪問(wèn)控制最高效的實(shí)現(xiàn)方式就是通過(guò)隱藏來(lái)保證安全，用browseable參數(shù)隱藏共享資源，并假定保護(hù)共享資源不被未授權(quán)訪問(wèn)就可以了。因此通過(guò)設(shè)置browseable為yes使登錄用戶只能看到自己的宿主目錄，加強(qiáng)Samba服務(wù)器的安全性。

3.1.2主機(jī)訪問(wèn)權(quán)

最基本的Samba訪問(wèn)控制形式是通過(guò)域名和端口地址進(jìn)行控制。通過(guò)smb.conf文件global和shares聲明的hosts allow和hosts deny參數(shù)，可以限制對(duì)那些工作組和域中可信任的主機(jī)的訪問(wèn)。

3.1.3用戶和組訪問(wèn)

Samba通過(guò)username、only user、valid user和invalid users參數(shù)限制指定用戶的訪問(wèn)權(quán)限。對(duì)于每—個(gè)參數(shù)所指定的用戶名，在授予訪問(wèn)權(quán)或拒絕訪問(wèn)之前，都通過(guò)相關(guān)的用戶列表檢查服務(wù)器提交的用戶名。

3.1.4 文件訪問(wèn)許可

雖然已經(jīng)將連接的權(quán)限縮小到一部分客戶機(jī)用戶和主機(jī)的范圍內(nèi)，但是還需要對(duì)共享文件和目錄對(duì)象操作的權(quán)限進(jìn)行設(shè)置，通過(guò)Linux用戶和組標(biāo)識(shí)符進(jìn)行讀、寫和執(zhí)行的特權(quán)。

3.2安全級(jí)別的設(shè)置

在smb.conf文件中可以利用security參數(shù)設(shè)置Samba服務(wù)器的安全級(jí)別，Samba服務(wù)器提供5種安全級(jí)別，最常用的安全級(jí)別是共享或用戶[2]。

1）共享（Share）：當(dāng)客戶端連接到Samba服務(wù)器后，不需要輸入Samba用戶名和口令就可以訪問(wèn)Samba服務(wù)器中的共享資源。這種方式方便但不太安全。

2）用戶（User）：這是Samba服務(wù)器的默認(rèn)安全級(jí)別。Samba服務(wù)器負(fù)責(zé)檢查Samba用戶名和口令，驗(yàn)證成功后才能訪問(wèn)相應(yīng)的共享目錄。

3）域（Domain）：Samba服務(wù)器本身不驗(yàn)證Samba用戶名和口令，而由Windows與控制服務(wù)器負(fù)責(zé)。此時(shí)必須指定域控制服務(wù)器的NetBIOS名稱。

4）服務(wù)器（Server）：Samba服務(wù)器不驗(yàn)證Samba用戶名和口令，而將輸入的用戶名和口令傳遞給另一個(gè)Samba服務(wù)器來(lái)校驗(yàn)。此時(shí)必須指定負(fù)責(zé)驗(yàn)證的Samba服務(wù)器的名稱。

5）活動(dòng)目錄域（ADS）：Samba服務(wù)器不驗(yàn)證Samba用戶名和口令，而由活動(dòng)目錄域服務(wù)器來(lái)負(fù)責(zé)。此時(shí)必須指定活動(dòng)目錄域服務(wù)器的NetBIOS名稱。

另外，還要正確地設(shè)置防火墻。因?yàn)槟J(rèn)情況下RHEL Server 5的防火墻不允許Windows客戶端訪問(wèn)Samba服務(wù)器，所以必須打開相應(yīng)的服務(wù)。此外，SELinux對(duì)于Samba服務(wù)也有影響，應(yīng)禁用SELinux。

3.3配置實(shí)例

架設(shè)用戶級(jí)別的Samba服務(wù)器，其中peter用戶可利用Samba服務(wù)器訪問(wèn)其個(gè)人主目錄、/tmp目錄，當(dāng)前工作組為workgroup[3]。

配置過(guò)程如下：

1） 將peter用戶設(shè)置為Samba用戶，并設(shè)置其口令。

[root@localhost ～]#smbpasswd –a peter

2） 利用文本編輯器編輯/etc/samba/smb.conf文件如下：

[global]

workgroup=workgroup

security=user

[homes]

comment=Home Directory

browseable=no

writeable=yes

[tmp]

path=/tmp

writeable=yes

3） 利用testparm命令測(cè)試配置文件是否正確。

[root@localhost ～]#testparm

4） 重新啟動(dòng)Samba服務(wù)。

[root@localhost ～]#service smb start

5） 設(shè)置防火墻和SELinux

在圖形界面下單擊“系統(tǒng)”—“管理”—“防火墻和安全級(jí)別”菜單[4]，打開安全級(jí)別設(shè)置窗口如圖1。在“防火墻選項(xiàng)”中選中信任的服務(wù)“Samba”，在“SELinux”選擇“禁用”。

4 Windows計(jì)算機(jī)訪問(wèn)Samba共享

在Windows計(jì)算機(jī)中雙擊桌面的網(wǎng)上鄰居，可找到Samba服務(wù)器，如圖2所示。雙擊Samba Server（Rhel），因?yàn)榇藭r(shí)設(shè)置的安全級(jí)別是用戶User，那么將首先出現(xiàn)輸入網(wǎng)絡(luò)登錄用戶名和密碼對(duì)話框，在此輸入Samba用戶peter和所設(shè)置的密碼后將顯示所配置的Samba服務(wù)器的共享目錄，即peter用戶的個(gè)人主目錄和/tmp目錄。這時(shí)用戶就可以在Windows計(jì)算機(jī)上對(duì)Samba共享目錄進(jìn)行相應(yīng)的讀寫操作了。

5 Linux訪問(wèn)Windows共享

如果局域網(wǎng)中的Samba服務(wù)器啟動(dòng)成功后，Windows計(jì)算機(jī)也可以向Linux計(jì)算機(jī)提供共享服務(wù)。首先在Windows計(jì)算機(jī)上通過(guò)編輯文件夾的屬性設(shè)置共享文件夾。然后在Linux計(jì)算機(jī)的桌面環(huán)境下依次單擊“位置”—“連接到服務(wù)器”，在打開的窗口中選擇服務(wù)類型為windows共享，在服務(wù)器框中輸入要訪問(wèn)的Windows計(jì)算機(jī)的IP地址，然后單擊連接，將訪問(wèn)Windows計(jì)算機(jī)的共享目錄，如圖3所示。

6 結(jié)束語(yǔ)

Linux 是一個(gè)優(yōu)秀的操作系統(tǒng)，尤其是它的網(wǎng)絡(luò)功能，可以與各種操作系統(tǒng)輕松連接，實(shí)現(xiàn)多種網(wǎng)絡(luò)服務(wù)。由于Linux系統(tǒng)的高穩(wěn)定性和可靠性，以及低廉的價(jià)格，使它受到越來(lái)越多用戶的青睞。在一些中小型網(wǎng)絡(luò)，或者企業(yè)的內(nèi)部網(wǎng)絡(luò)中，利用Linux建立文件服務(wù)器是一個(gè)很好的解決方案。針對(duì)企業(yè)內(nèi)部網(wǎng)中的絕大部分客戶機(jī)采用Windows的情況，所以可以通過(guò)使用Samba來(lái)實(shí)現(xiàn)文件服務(wù)器功能。Samba不僅使得Linux計(jì)算機(jī)與Windows計(jì)算機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)互訪，而且可以通過(guò)使用不同的參數(shù)，可以實(shí)現(xiàn)不同的訪問(wèn)控制，從而實(shí)現(xiàn)Samba服務(wù)器的安全性。

參考文獻(xiàn)：

[1] 謝蓉.Linux基礎(chǔ)及應(yīng)用[M].北京：中國(guó)鐵道出版社，2008.

[2] 曹江華.Linux服務(wù)器安全策略詳解[M]. 北京：電子工業(yè)出版社，2009.

[3] 林天峰.Linux服務(wù)器架設(shè)指南[M]. 北京：清華大學(xué)出版社，2014.

[4] 陸昌輝.網(wǎng)絡(luò)服務(wù)器組件，配置和管理Linux篇[M]. 北京：電子工業(yè)出版社，2008.