Linux操作系统Samba服务器完全配置.docx

1、Linux操作系统Samba服务器完全配置一、Samba基础1、 简介1）.SMB协议SMB（Server MessageBlock，服务信息块）协议可以看作是局域网上的共享文件/打印机的一种协议，它可以为网络内部的其它Windows和Linux机器提供文件系统、打印服务或是其他一些信息。SMB的工作原理是让NetBIOS(Win95网络邻居通信协议)与SMB这两种协议运行在TCP/IP的通信协议上，且使用NetBIOS nameserver让用户的Linux机器可以在Windows的网络邻居里被看到，所以就可以和Win95/NT主机在网络上相互沟通，共享文件与服务了。目前Microsoft正

2、在开发一种新的文件和打印共享协议-CIFS（Common Internet FilesSystem，通用网络文件协议），该协议支持TCP/IP和DNS等协议，能在www上支持文件和打印共享。在CIFS下服务器实际上是DNS名，由主机名和域名组成。这种变化是从NetBIOS命令结构中分离出来的。目前CIFS还没有得到广泛的应用。现在在Linux和Win95/NT之间的文件共享注意还是SMB和NFS。2）.什么是SambaSamba是用来实现SMB的一种软件，由澳大利亚的Andew Tridgell开发，是一种在Linux（Unix）环境下运行的免费软件。通过使用Samba，Linux系统可以实现

3、如下功能：文件服务和打印服务（在Linux和Win95/NT之间系统之间提供打印机和磁盘的共享）登陆服务器，使用Windows客户能注册到网络上作为主要域控制器和域中成员的功能WINS服务器以及浏览功能支持SSL（Secure Socket Layer）支持SWAT (Samba Web Administration Tool )Samba除了支持Linux(Unix)和Win95/NT之外，还支持DOS、IBM OS/2、Macintosh 等操作系统。在Samba的软件包中所包括的组件参看表1-1：表1-1 Samba软件包的组成列表2、Samba的记录文件Samba为smbd、nmbd和

4、访问Samba的客户提供了下列记录文件，分别记录有关smbd、nmbd运行信息和每个客户的访问信息：记录smbd 信息/var/log/samba/log.smb记录nmbd信息/var/log/samba/log.nmb记录客户访问信息/var/log/samba/log.%m3、启用Samba服务器Samba的运行包含两个后台守护进程：smbd和nmbd，它们是Samba的核心，在全部时间内运行。nmbd程序使得通过企图计算机可以浏览Linux服务器。Smbd守护进程在SMB软件包到达网上时对它们进行处理，并且为使用或共享它的资源与Linux进行协调。如果指定的是一个文件，该资源就是一个文

5、件；而一个打印机请求就要求访问一台打印机。实际上，在请求访问打印机时，Smbd把要打印的信息存储到打印机队列中；在请求访问一个文件时，Smbd把数据发到内核，最后将它存到磁盘上。你可以从inetd选择启动它们，但这种方法会使Samba变慢。建议使用下面命令可以启动这两个进程：/etc/rc.d/init.d/smb start/usr/sbin/samba start如果想要在系统启动时自动启动samba，可以使用/usr/sbin/turboservice命令，选中其中的SMB (Windows)FileServices。二、Samba配置及使用1、定制文件/etc/smb.conf在安装完

6、Samba后，还需要定制它的配置文件smb.conf，才能使Samba正常工作以符合要求。由于SMB是一个非常复杂的协议，所以配置Samba的工作也是比较繁琐的，大约有超过170条配置项出现在smb.conf文件中。1)smb.conf的语法smb.conf文件有一个清晰的语法结构，与Windows的*.ini文件十分类似。如下所示：该文件被分成几部分，每一部分都包括几个参数，用来定义Samba输出的共享及其详细操作。文件被分隔成若干节，每一节都由一个被方括号括起来的标识开始（例如，global、home、printers），每一个配置参数或是一个全局参数（影响或控制整个服务器），或是一个服务

7、参数（影响或控制服务器提供的某项服务）。global部分定义的参数用来控制Samba的总特性。除global部分外，每一部分都定义了一个专门的服务。你可以使用下面的语句来指定一个参数：name=VALUEname可以是一个单词或者用空格隔开的多个单词。VALUE可以是布尔值（ture或false；yes或no；1或0）、数字或字符串。注释以分号开头，可以单独一行，也可以跟在一条语句之后。通过在一行的最后一个字符后加反斜杠可以将一行分成多行。每一部分的名字和参数都不区分大小写，例如，参数browseable=yes与browseable=YES是完全等价的2)smb.conf文件的功能smbd和

8、nmbd这两个守护进程启动时（通常为系统引导时）读配置文件smb.conf，这一配置文件向这两个守护进程说明输出什么共享、共享输出给谁以及如何进行输出等等。因为安全问题是最重要的，所以你必须指定哪些计算机可以访问这一共享，smb.conf文件可以很灵活的明确指定每一服务有哪些用户可以访问。随着Linux网络的增大，这一控制越来越重要。3)smb.conf文件结构smb.conf文件主要包括三部分：global（全局）参数directory shares （目录共享）部分-包括标准的home部分printer shares（打印共享）部分其中，global参数用来设置整个系统的规则；home部分

9、和printer部分是服务的特定例程，services（服务）这一术语是网络客户机共享或输出的目录和打印机的Samba术语。这些服务定义了哪些用户可以访问这些目录和打印机以及如何访问这些目录和打印机。清单1-1给出了smb.conf文件的一个简单的例子。清单1-1 smb.conf文件的一个简单示例globalnetbios name = FRODOworkgroup = UAB-TUCCserver string = John Blair's Linux Boxsecurity = userprinting = lprnglog file = /var/log/sambalock d

10、irectory = /var/lock/sambahomescomment = Home Directorybrowseable = noread only = noprintersbrowseable = noguest ok = yesprintable = yes在 global 段中设置了主机名称, 主机所在的工作组名称和浏览时可看到的对本机的描述。安全参数告诉 Samba使用用户级别的安全保护方式。 SMB 有两种安全模式： 共享级别, 将资源加密码控制；用户级别, 可以使用某一用户的所有资源。这里不能详细解释两种方式的微妙差别, 但大部分情况下, 你会想用用户级别安全控制。glo

11、bal 段中还定义了日志文件目录和锁定文件的位置。日志文件在解决故障和完善系统时是很有用的，锁定文件可以阻止多个用户同时修改相同的文件。homes 段中的设置控制了每一个用主目录的共享权限。comment 参数指定的字符串在你浏览本机资源时出现在指定资源的旁边。browseable 参数控制一项服务是否能够出现在网络资源浏览表中。这里是一些非直觉的东西, browseable = no意味着这个目录将在浏览时显示为要验证的用户名称。 举例来说, 指定 browseable = no, 当我浏览这个 Samba 服务器时,我将看到一个名称为 cuckoo 的共享目录。当指定 browseable

12、 = yes 时, 我将看到一个名为 homes 和 cuckoo的共享目录。设置 read only = no 将允许通过验证的用户对主目录有写入的权限。 但是, 如果他们的主目录的 UNIX 权限 不允许写入,那么他们就没有写的权限。 无论 UNIX 的权限怎样, 设置 read only = yes 后, 他们的主目录是只读的。printing 命令描述了本地打印系统类型, 这可以让 Samba 知道怎样提交打印任务, 显示打印队列, 删除打印任务和其它操作。如果打印系统是 Samba 所不知道的, 你必须在每次执行打印操作时指明命令。清单中printing一段配置允许任何能够登录到 S

13、amba 服务器的用户使用 printcap 中出现的 每一台打印机。 正常情况下,如果使用用户级别安全控制, guest ok = yes 并不能授权每一个用户(使用系统)。 每一个打印服务必须定义为 printable =yes。下面的一段配置片断增加了一个命名为 public 的共享目录, 直接对匿名FTP目录有只读的 权限。 你必须在客户机上建立打印机驱动程序。 对于Windows 95 和 Windows NT 客户机, 你可以使用printer name 和 printer driver命令自动建立打印驱动。publiccomment = Public FTP Directoryp

14、ath = /home/ftp/pubbrowseable = yesread only = yes这段描述并不是解释一些微妙的主题,例如用户级和共享级安全性的区别或者其它的授权认证主题。它仅仅让我们看到了Samba这座冰山的一角。另一方面，这是一个良好的例子，从中我们可以了解产生一个简单但可工作的smb.conf文件是多么容易。下面，我们举另一个例子说明如何通过Samba把Linux的打印机共享给Windows机器。为了共享Linux的打印机给Windows机器，必须确定Linux机器上的打印机已经设置好。如果能从Linux上打印，那么设定Samba的打印机共享是很简便的。只要根据自己的情况

15、，对smb.conf文件有关打印的部分进行修改就可以了。在修改中唯一需要注意的是确保打印机的路径要与/etc/printcap中的spool目录相符合，然后就可以在Win95/NT上配置网络打印机了（关于如何在Win95/NT上配置网络打印机，本文不做介绍）。4)标准smb.conf文件清单在Samba的软件包里的example目录中有一个缺省的配置文件smb.conf.defaults。我们可以对它做适当修改后拷贝到你的安装目录下的lib目录里，并改名为smb.conf。清单1-2是Samba系统提供的标准的配置文件。为方便读者阅读，本文翻译了文件中的注释并适当的添加了解释。清单1-2 标准

16、smb.conf 文件# 这是服务器的主要配置文件。您应该阅读smb.conf(5)的用户手册以了解下面列出的每一个选项。Samba有很多的选项，它们之中的大多数并没有出现在这个例子中。# 以分号；或井号#开始的每一行都是注释，在执行时被忽略。在本例中我们使用#作为注释而使用；作为可选配置的注释。# 注意：无论何时修改了这个配置文件，您都要运行testparm命令来检查您所做的修改有没有基本的语法错误。#= 全局变量设置Global Settings =global# workgroup用来指定您的机器在网络上所属的NT域名或组名。格式是# workgroup = NT-Domain-Name

17、 or Workgroup-Name。缺省的组名是 MYGROUP。workgroup = MYGROUP# server string 用来设置NT描述域。缺省值是Samba Server 。server string = Samba Server# 下面的选项对于安全很重要。它允许您设置哪些领域的机器可以访问您的Samba服务器。下面的这个例子允许两个C类子网和lookup的连接请求而禁止来自其他网段机器的连接请求。有关的例子请参看smb.conf的用户手册。; hosts allow = 192.168.1. 192.168.2. 127.# 允许自动加载打印机列表，而不需要您单独设置每

18、一台打印机。load printers = yes# 您也许希望覆盖原有的printcap 文件。; printcap name = /etc/printcap# 对于SystemV系统，如果将printcap名设置为lpstat 将允许您从SystemV 的spool中自动获得打印列表。; printcap name = lpstat# 除非您的打印机不是标准型号，否则您没有必要在下面指定打印机系统的类型。# 目前支持的打印机系统包括：bsd, sysv, plp, lprng, aix, hpux, qnx printing = bsd# 如果希望建立一个客户帐号，去掉下面语句前面的分号；

19、。同时，您必须在/etc/passwd中加入这个帐号的定义，否则将使用用户nobody作为客户帐户。; guest account = pcguest# 此选项将为每一个与服务器连接的机器定义一个单独的日志文件。log file = /usr/local/samba/var/log.%m# 此选项设置最大的日志文件的大小（以KB为单位）max log size = 50# 定义安全模式。大多数人都喜欢用户级安全模式，详细内容参看security_level.txtsecurity = user# 只有当安全模式设置为服务器级（security = server）时，才定义下面选项。; pass

20、word server = # 如果用户想使用加密口令的话，请参阅ENCRYPTION.txt、Win95.txt和 WinNT.txt# 文件，请在阅读以上文件后使用下面选项。; encrypt passwords = yes# 使用此选项允许您对每一个机器使用不同的配置。%m将被替换成与服务器请求连接机器的NetBIOS名。; include = /usr/local/samba/lib/smb.conf.%m# 大多数人会发现此选项将显著提高服务器的执行效率，请参读speed.txt和用户手册以了解更多细节。socket options = TCP_NODELAY# 配置Samba来使用

21、多个网络界面，如果您有多个网络界面，那么必须按照下面格式在这里列出。请参阅用户手册以获得更多的细节。; interfaces = 192.168.12.2/24 192.168.13.2/24# 浏览控制选项#如果不想使您的Samba服务器成为局域网内部的主浏览服务器，将此选项设为no local master = no# OS Level决定了该服务器在局域网内的访问优先权。; os level = 33# Domain Master将Samba服务器定义为主域浏览器。此选项将允许Samba在子网列表中比较浏览。如您已经有一台Windows NT域控制器，不要使用此选项; domain ma

22、ster = yes# Preferred Master使Samba在启动时选择一个本地浏览器并给它获得选择的较高的机会; preferred master = yes#仅当您的网络中有一台在安装时设置为主域控制器的NT服务器时使用此选项。domain controller = # 如果想使Samba成为Windows95工作站的登录服务器，则使用此选项。; domain logons = yes# 如果允许域登录服务，那么您也许希望每台机器或每个用户的登录脚本运行一个特定的每工作站的登录批处理文件。; logon script = %m.bat# 运行一个特定的每用户名登录批处理文件。; l

23、ogon script = %U.bat# 放置roving profiles 文件的位置(仅用于 Win95 和WinNT) ，%L代表该服务器NetBIOS名，%U是用户名，您必须取消后面定义的Profiles前面的注释号。; logon path = %LProfiles%U# Windows的Internet名服务支持记录部分# WINS Support告诉NMBD守护进程支持WINS服务器。; wins support = yes# WINS Serve选项告诉NMBD守护进程作为WINS的客户机。# 注意：Samba既可以作为WINS服务器也可以作为 WINS客户机，但不能兼而有之

24、。; wins server = w.x.y.z# WINS Prox代表一个非WINS客户通知Samba响应名字解析请求。要使此选项正常工作必须保证网络中至少有一台WINS服务器。缺省值是NO。; wins proxy = yes# DNS Proxy选项决定Samba是否通过DNS 的nslookups 去解析主机的NetBIOS名。对于1.9.17 以前的版本内置值是yes ，对于1.9.18之后的版本内置值是no 。dns proxy = no#= 定义共享服务Share Definitions =# 所有使用者的home目录homescomment = Home Directorie

25、s# 当一个客户程序以客人用户类出本服务器的共享服务时，不列出homes服务。# 但是本机用户创建的主目录服务仍使用global节设定的browseable。browseable = nowritable = yes# 如果要创建一个netlogon目录则取消下面的注释。; netlogon; comment = Network Logon Service; path = /usr/local/samba/lib/netlogon; guest ok = yes; writable = no; share modes = no# 如果要提供一个特定的共享roving profile则取消下面的

26、注释。# 缺省值是使用用户的home目录。;Profiles; path = /usr/local/samba/profiles; browseable = no; guest ok = yes# 注意：如果您有一个BSD 风格的打印系统，您不需要单独定义每台打印机。printerscomment = All Printerspath = /usr/spool/sambabrowseable = no# 设置public = yes 将允许以guest 帐号登录的用户使用打印机。guest ok = nowritable = noprintable = yes# 此选项定义网络用户共享文件的临

27、时目录。;tmp; comment = Temporary file space; path = /tmp; read only = no; public = yes# 一个用户共享目录，除了在staff 组里的用户有些写的权限之外之外，对其它用户是只读的。;public; comment = Public Stuff; path = /home/samba; public = yes; writable = yes; printable = no; write list = staff# 其他例子：# 下面定义了一台只有fred可以使用的私人打印机。Spool数据放在fred的home目录里

28、。注意：fred必须对Spool目录有写的权限，不管这个目录在什么位置。;fredsprn; comment = Fred's Printer; valid users = fred; path = /homes/fred; printer = freds_printer; public = no; writable = no; printable = yes# 下面定义一个只有用户fred才能使用的私人目录。fred 必须对这个目录拥有写的权限。;fredsdir; comment = Fred's Service; path = /usr/somewhere/private

29、; valid users = fred; public = no; writable = yes; printable = no# 下面定义的是对每个域服务器连接的机器有不同的目录的服务。这将允许您对于不同的机器使用不同的配置，同样也可以使用%U选项为每个用户使用不同的配置。%m在连接时将被替换为客户机的主机名。;pchome; comment = PC Directories; path = /usr/pc/%m; public = no; writable = yes# 下面定义一个所有用户都可以读写的共享目录。注意用户在这个目录中创建的文件都将归默认用户所有。所以任何可以访问这个目录的

30、用户都可以删除别的用户在这个目录里放置的文件。显然，这个目录对于默认用户必须是可写的。当然，也可以指定某个用户，这时，该目录的所有文件将为此用户所有。;public; path = /usr/somewhere/else/public; public = yes; only guest = yes; writable = yes; printable = no# 下例说明了如何定义让两个用户共享一个目录，他们在这个目录里放置的文件归他们各自所有。在此例中，这两个用户对该目录都有写的权限。当然文件的保护应该设置恰当。很显然，这个例子可以扩展到适合于多个用户的情况。;myshare; comment = Mary's and Fred's stuff; path = /usr/somewhere/shared; valid users = mary fred; public = no; writable = yes; printable = no; create mask = 07652 共享访问限制1)通过主机地址使用以下参数来限制通过主机地址访问：allow hostshosts allowdeny hostshosts denyallow hosts、 hos