胡蘭蘭

（淮北職業(yè)技術學院計算機科學與技術系，安徽淮北，235000）

1 Samba服務器簡介

Samba基于SMB（Server Message Block）協(xié)議［1］［2］，可實現(xiàn)Unix／Linux系統(tǒng)和Windows系統(tǒng)之間互相通信及共享資源的安全。功能包括：文件和打印機共享、身份驗證和權限設置、名稱解析、瀏覽服務。對應這些功能，Samba服務會開啟兩個服務：smbd和nmbd。

2 Samba服務器設置

RHEL5中默認安裝兩個軟件包：samba－common、samba－client。Samba服務器端要安裝另兩個軟件包：samba、samba－swat。其中samba－swat依賴于xinetd包，要先安裝。教學中要說明軟件之間的依賴關系對安裝和卸載順序的影響。

主配置文件／etc／samba／smb.conf中可以指定共享的目錄和打印機等資源。該文件主要由三部分組成：注釋和范例部分、Global Settings和Share Definitions。

（1）注釋部分以“?！遍_頭，范例部分以“；”開頭，分別提供說明和參考，并不生效。

（2）Global Settings部分以［global］開始，設置的是全局變量。Samba提供五種安全模式（share、user、server、domain和ads）［3］。在教學中，重點講解share和user模式。share模式中，共享目錄一般只給予較低權限，客戶端可實現(xiàn)匿名訪問。User模式要求客戶端提交合法的帳號和密碼，這也是默認的級別［4］。

（3）Share Definitions部分設置共享對象和共享的權限。

在教學過程中，分別以share級別和user級別案例講解。基本配置比較簡單（基本的配置方法這里不再舉例），但在客戶端測試時，往往會出現(xiàn)一些問題。教師要引導學生對實驗過程中遇到的問題進行歸納分析。

3 教學過程中可能遇到的問題分析

對于Samba服務器的教學，建議以項目為導向要求學生完成一個典型的企業(yè)文件服務器案例。教學提供的初始實驗環(huán)境是一樣的，但學生在操作時會出現(xiàn)不同的情況。例如虛擬環(huán)境下，系統(tǒng)安裝時規(guī)劃的內存和硬盤的大小一樣，但伴隨著軟件的安裝，可能會出現(xiàn)提示空間不夠的問題。這時就要有選擇地卸載不需要的軟件包以釋放足夠的空間。

在講解服務器內容時，選取“以具體項目為導向”的教學方法，培養(yǎng)學生從設計、安裝、測試到驗收的基本技能。在配置Samba服務器時，學生搭建的網(wǎng)絡環(huán)境以及對命令的掌握情況也會影響到共享目錄真正提供的權限。下面是實際教學中出現(xiàn)的幾個問題。

3.1 對于Samba服務器提供的共享目錄，用戶權限的依據(jù)

某用戶對共享目錄的權限會受到多方面的影響。首先是Samba中對該目錄的權限設置。其次是系統(tǒng)中目錄本身賦予該用戶的權限。

例如，創(chuàng)建的共享目錄／test后，在samba.conf中對／test目錄賦予某用戶寫的權限。方法可以采用多種形式，如：

writable＝y(tǒng)es或readonly＝no或write list＝用戶名或write list＝＠組名

但檢測時該普通用戶對／test可能仍沒有寫的權限。要檢查目錄本身的權限設置。

＃ls－ld／test

drwxr－xr－x 2root root 4096 03－27 15：27／test

這里顯示對于普通用戶，只有讀和執(zhí)行的權限。因此要通過chmod命令（如：chmod 777／test）賦予相應的寫權限。此時重新加載smb服務，再驗證用戶是否能真正進行寫的操作。默認情況下，用戶此時只能進行“上傳”操作，不能進行修改、刪除、改名等操作。這是因為RHEL5默認采用selinux，即強制存取控制（在／etc／selinux／config文件中selinux＝enfocing）。這時需要通過關閉selinux（修改為selinux＝disabled并重啟系統(tǒng)）或修改對象的安全來放開“寫”權限。

3.2 Samba用戶與普通用戶的關系

在user模式中，客戶端需要提交Samba帳號和密碼，通過驗證后才能訪問Samba服務器中的共享目錄。服務器的普通用戶不一定是Samba用戶，但Samba用戶必需是普通用戶。即先建立相應名稱的普通用戶，再把該用戶指定為Samba用戶。兩種用戶身份要分別設置密碼，建議設置不同的密碼。

Samba服務器端刪除對應Samba帳號的普通用戶后，Samba帳號不再可用。

3.3 Samba的安全問題

Samba用戶名保存在／etc／samba／smbpasswd中。3.2中顯示，Samba用戶名對應Samba服務器中的普通用戶名。從安全角度考慮，客戶端只要破解密碼就可實現(xiàn)登錄訪問，這對于服務器來說并不安全。通過用戶帳號映射（／etc／samba／smbusers文件）的方法創(chuàng)建虛擬帳號，可以對Samba服務器中的用戶名進行保護。對客戶端只要提供虛擬帳號和密碼即可。

共享目錄的名稱對于一些普通帳號也是要保密的。設置共享目錄的browseable＝no可將目錄隱藏，但并不關閉共享。用戶可通過在地址后輸入目錄名（如：＼192.168.18.1／test）來訪問。

對于特殊帳號，若不想讓他去記共享目錄名，只需要單獨為他建立一個配置文件（如：／etc／samba／smb.conf.teacher），該配置文件可以在復制系統(tǒng)的smb.conf后對共享目錄做選項的修改。主要是去除其中的browseable＝no（或用browseable＝y(tǒng)es），且保證security設為user。同時在主配置文件smb.conf的［global］中加入一行配置文件信息：config file＝／etc／samba／smb.conf.%U。%U表示當前登錄用戶，%U的位置由單獨配置文件名中用戶名所在位置決定。若配置文件名為／etc／samba／teacher.smb.conf，則要設置config file＝／etc／samba／%U.smb.conf。

3.4 host deny和host allow的位置與設置

valid users字段可實現(xiàn)用戶和組的訪問控制，但用戶較多時比較麻煩?？赏ㄟ^host deny和host allow字段禁止和允許指定IP子網(wǎng)或指定域的客戶端訪問。

如：host deny＝192.16.0.

host allow＝192.16.0.10

此時兩個字段存在沖突。對于192.16.0.10這個客戶端，系統(tǒng)會將hosts allow優(yōu)先，即會允許訪問。上面的兩行如果放在［global］中，則全局生效；如果放在共享目錄的設置中，則只針對目錄生效。

對于上面的設置也可用下面的兩行來實現(xiàn)：

host deny＝ALL

host allow＝192.16.0.EXCEPT 192.16.0.10

RHEL5中很多情況下會出現(xiàn)允許和拒絕的設置。對于書寫的先后順序、系統(tǒng)的優(yōu)先順序，處理并不一致。這方面內容要求學生自己歸納。

3.5 不同客戶端的檢測方法

Samba服務器，主要實現(xiàn)的是跨系統(tǒng)的共享設置，對于同系統(tǒng)之間也具有相應的服務。對于客戶端，首先要保證與Samba服務器在同一LAN，相互能ping通并關閉防火墻（或在防火墻規(guī)則中設置允許訪問）。這些準備工作需要學生熟練掌握網(wǎng)絡基礎知識。

（1）Windows客戶端

對于Windows客戶端，可在運行中輸入：＼服務器名稱或IP地址（如：＼192.168.18.1）。如果知道共享目錄，也可用加上目錄名（如：＼192.168.18.1／test）。Samba服務器上安裝samba－swat后，客戶端還可通過瀏覽器訪問。對應上面的訪問，可在地址欄輸入：file：／／192.168.18.1或file：／／192.168.18.1／test。在切換用戶時，要去除Windows中的IPC＄（Internet Process Connection）才能重新登錄。方法是：命令提示符（cmd）下，輸入net use＊／delete或net use＼IP地址／IPC＄／delete。

（2）Linux客戶端

對于Linux客戶端，可以用smbclient命令列出目標主機共享目錄列表［5］。

命令格式：smbclient－L目標IP地址或主機名［－U登錄用戶名［%密碼］］

不同用戶瀏覽的結果可能是不一樣的，這要根據(jù)服務器設置的訪問控制權限而定。

對于查看到的共享目錄，可以使用smbclient命令進行共享訪問。

命令格式：smbclient／／目標IP地址或主機名／共享目錄［－U登錄用戶名［%密碼］］

成功后，提示符是：smb：》，使用？或help可獲取在線幫助。教學時教師要強調，命令格式會影響執(zhí)行結果。如：ls會顯示共享目錄中的內容，而！ls會顯示客戶端原系統(tǒng)當前目錄中的內容。這點可要求學生通過上傳下載等命令掌握其用法。

使用mount命令掛載共享目錄更方便操作。命令格式：

mount－t cifs／／目標IP地址或主機名／共享目錄名稱掛載點－o username＝用戶名

掛載成功后，對共享目錄就可以像本地目錄一樣操作了。

3.6 在給予讀寫權限后，如何保護每個用戶的文件

通過3.1中描述的處理后，假設賦予多個用戶對共享目錄／test的讀寫權限。啟動smb服務后，可測試到對應用戶的讀寫權。從共享的角度考慮，服務器應面向多個用戶提供最大的權限，但也要兼顧到每個用戶的私有文件保護。

簡單的實現(xiàn)方法是通過設置粘滯位（Sticky Bit）。即使用chmod命令設置權限時，“＋t”或數(shù)字權限模式“nnnn”中的第1位設為“1”。上例中可使用chmod＋t／test或chmod 1777／test命令。

檢測會發(fā)現(xiàn)，即使某用戶對目錄有寫入權限，也不能刪除該目錄中其他用戶的文件數(shù)據(jù)。

4 小結

通過項目導向教學，學生將網(wǎng)絡基礎知識與配置Samba服務器知識綜合，對主配置文件文件中的各常用選項分別練習，最終可以熟練按要求完成Samba服務器的建立。本文對教學中出現(xiàn)的幾個問題進行歸納分析，可以幫助學生更好地了解RHEL5系統(tǒng)及其設置的多樣性、靈活性。

［1］陳 欣.RHEL5下配置與管理文件服務器Samba［J］.硅谷，2010（20）：24－25.

［2］鄧 榮.基于domain級別的Samba服務器的設計與實現(xiàn)［J］.電腦知識與技術，2010（30）：87－89.

［3］崔寶才.linux的Samba服務配置［J］.天津職業(yè)院校聯(lián)合學報，2011（11）：77－80.

［4］范文廣，王 勝.Linux平臺下架設Samba服務器設計實驗的綜述研究［J］.長沙大學學報，2011（5）：41－42.

［5］胡建華.實現(xiàn)Linux和Windows之間資源共享——Samba技術的運用［J］.企業(yè)科技與發(fā)展，2009（6）：13－15.