通用線程：Samba簡介第三部分

2019-11-04 20:10:25

字體：大中小

來源：轉載

供稿：網友

　　使 Samba 運轉起來：配置階段
　　
　　Daniel Robbins
　　總裁／CEO，Gentoo Technologies, Inc.
　　
　　內容：
　　添加一些共享
　　令人興奮的共享
　　共享主目錄
　　共享參數
　　snb.conf 選項
　　從 Samba 打印
　　參考資料
　　關于作者
　　
　　在上一篇文章中，Daniel Robbins 指導您完成第一次設置 Samba 的過程。現在應該配置 Samba 使它執行您希望它執行的所有操作了。
　　
　　這里有一個我們曾使用過的 smb.conf 清單：
　　
　　[global]
　　
　　# set YOURWORKGROUP to the name of your workgroup
　　
　　workgroup = YOURWORKGROUP
　　security = user
　　encrypt passWords = yes
　　guest account = guest
　　
　　# enable *one* of the following two lines
　　# enable the first line if you want to use an existing
　　# WINS server on your subnet, otherwise, enable the
　　# second.
　　
　　# wins server = ip address of WINS server
　　# wins support = yes
　　
　　local master = yes
　　os level = 99
　　domain master = yes
　　PReferred master = yes
　　
　　# optional security options. Customize for your site.
　　
　　# hosts allow = 192.168.1. 127.
　　# interfaces = eth1
　　
　　[tmp]
　　path=/tmp
　　writeable=yes
　　
　　添加一些共享
　　當這個 smb.conf 文件生效后，它所能做的就是通過創建一個名稱為 /"tmp/" 的共享，來和 Windows 一起共享 /tmp 目錄。這不夠讓人興奮。讓我們創建另一個更有用的共享。向 smb.conf 添加以下幾行，然后重新啟動 Samba。
　　
　　[FTP]
　　path=/path/to/ftp/root
　　writeable=no
　　
　　假如在 Samba 服務器上有 ftp 位置或某種文件歸檔，那么可以通過使用類似的代碼來在網絡上共享數據。/"writeable=no/" 參數告訴 Samba 不答應任何人創建或修改該共享上的文件。任何具有有效 Samba 帳戶的人都能夠訪問這個共享。
　　
　　令人興奮的共享
　　我知道您現在在想什么。但這仍不夠讓人興奮。假如共享主目錄呢？下面是實現如何這個目的的代碼：
　　
　　[drobbins]
　　comment=Home Directory for drobbins
　　path = /home/drobbins
　　force user = drobbins
　　read only = no
　　valid users = drobbins administrator
　　
　　這一個有趣得多。向 smb.conf 添加類似的代碼可以讓您共享主目錄。在該例中，創建了 /"drobbins/" 共享。它在網絡上共享了 /home/drobbins 的內容。幸運的是，有了 /"valid users/" 那一行，并不是所有人都能訪問這個共享。這行導致 Samba 拒絕除 /"drobbins/" 或 /"administrator/" 帳戶之外任何人進行的訪問。因為使用的是 Windows NT，所以我經常作為 administrator 登錄。在這種情況下，仍能訪問 /"drobbins/" 共享。這一行 valid users 就可以答應這種情況發生。
　　
　　您還會注重到 /"read only/" 參數的使用。您可能已猜到，/"read only/" 與 /"writeable/" 參數相反。我們只需要用 /"writeable=yes/" 就能替代這一行。這表示只要有合適的許可權，Samba 就答應寫入這個特定的共享。因為 Samba 的 /"drobbins/" 用戶直接映射成 Unix 的 /"drobbins/" 用戶，并且 drobbins 恰巧又是 /home/drobbins 目錄及其內容的所有者，所以就答應寫和修改文件。
　　
　　您是否曾作為 root 用戶在主目錄中創建文件，然后在作為一般用戶登錄后嘗試修改它時被拒絕了寫訪問呢？對我來說，這種情況一直發生。要解決問題，需要執行 /"su/"、 /"chown drobbins.drobbins filename/"，然后從 root 用戶中 /"exit/" （退出）。最后終于答應我修改該文件。
　　
　　我提到這一點是因為在您共享主目錄并使用其它 Samba 用戶訪問它們時也可能產生類似的問題。請考慮以下情況。我作為 administrator 訪問共享并創建了文件。通常，這個文件是由 administrator 擁有的，不能由 drobbins 用戶修改。假如 drobbins 嘗試修改它，訪問就遭到拒絕。幸運的是，Samba 具有避免這種情況的 /"force user/" 選項。/"force user/" 選項將使所有對文件（在特定的 Samba SMB/CIFS 共享上）執行的操作將使用單一 Unix 帳戶來執行。在 /"drobbins/" 共享示例中，這意味著 administrator 創建的所有文件實際上都由 drobbins 擁有，防止任何所有權沖突。因為 /"drobbins/" 共享包含了主目錄的內容，我希望將 drobbins 帳戶擁有的所有內容都保存在其中。
　　
　　在開始下一個主題之前，我應該提一下 /"comment/" 參數。這答應您用從 Windows 可見的描述性注釋來補充說明您的共享。
　　
　　共享許多主目錄
　　我們已介紹了如何共享單個主目錄了。但假如恰巧您要治理包含幾百個用戶的服務器，而所有用戶都希望能從 Windows 訪問他們的主目錄，在這種情況下您怎么做呢？很幸運，Samba 有一個非凡的共享，稱為 /"homes/"，專門用于這個目的。這里說明它是如何工作的：
　　
　　[homes]
　　comment=Home directory for %S
　　path=/home/%u
　　valid users = %u administrator
　　force user=%u
　　writeable = yes
　　browseable = no
　　
　　我提到過，這是一個“非凡”的共享。它與一般共享的工作原理不一樣。Samba 能夠熟悉這種非凡的標識 /"[homes]/" 并用不同的方式處理這個共享。
　　
　　這個共享最不同平常的地方是使用了 /"browseable=no/" 參數。這種非凡的選項使共享在“網絡鄰居”下不可見，它通常用于阻止那些想要“探索”它所能看到的所有共享的存心不良的用戶。但為什么在這里使用它呢？
　　
　　答案有些耐人尋味。您看，/"homes/" 共享確實創建了一個名為 /"homes/" 的共享。但這個特定的共享對我們一點用處沒有。它不做任何事，所以我們把它隱藏起來。/"homes/" 共享所做的事非常多。它告訴 Samba 自動為每個個人用戶即時創建主目錄。例如，假設我們的 /"drobbins/" 共享沒有在 smb.conf 中定義，而我們作為 NT 用戶 /"drobbins/" 瀏覽“網絡鄰居”。就會發現一個名為 /"drobbins/" 的共享，它的行為與原始 /"drobbins/" 共享的行為相同。假如使用 NT 用戶 /"jimmy/" 訪問 Samba，就會發現一個配置完善的 /"jimmy/" 共享。這是 homes 的魅力所在。添加一個非凡的共享會相應地創建所有主目錄共享。
　　
　　現在，它的工作原理呢？當設置 /"homes/" 共享時，Samba 將檢測哪個 NT 用戶在訪問 Samba。然后，它將創建一個已經為這個特定用戶定制過的主目錄共享。好象這個共享是個正常的非動態共享一樣，它將出現在“網絡鄰居”中。而 NT 用戶并沒有意識到這個特定的共享是提前創建的。讓我們看看每個特定選項是做什么的：
　　
　　comment 參數使用 %S 通配符，它可以擴展成實際的共享名。這將導致 /"drobbins/" 共享帶有注釋 /"Home directory for drobbins/"，/"jimmy/" 共享帶有注釋 /"Home directory for jimmy/" 等等。path 參數還包含通配符 %u。%u 擴展成訪問共享的用戶名。在非凡情況下，%u 等價于 %S，因此我們就使用 path=/home/%S 代替。它可以讓 Samba 動態地將共享映射到磁盤上的正確位置。
　　
　　我們再次使用 /"valid users=/" 那一行中的宏，以便只答應共享的所有者和治理員訪問它。/"force user/" 也使用一個宏，以便所有文件訪問將由一個帳戶執行。當然，我們會使共享對所有已認證的用戶可寫。當使用 /"browseable=no/" 參數時，動態創建的共享在創建它們時將是可瀏覽的。當然，它只隱藏不起作用的 /"homes/" 共享。
　　
　　共享參數
　　我們已經看過一些在創建共享時使用的一些方便技術。在這一節中，我將介紹一些常用的選項，可以讓您根據每個共享定制 Samba 功能。也可以把所有與共享相關的選項放在 [globals] 這一節中，從而為所有共享設置缺省值。
　　
　　comment=
　　comment = 參數是非常方便的選項，可以使 Samba 系統從 Windows 方查看時更正規。它可以讓您指定特定共享所帶的注釋，描述共享的內容。指定注釋時（非凡在使用 /"homes/" 時），我經常使用 %S 宏，它擴展成共享的名稱。
　　
　　path=
　　path= 是最基本的 Samba 共享參數之一。它讓您將路徑設置成要導出的目錄。請注重，缺省情況下，該目錄樹中的任何符號鏈接都會跟隨。因此用戶有可能“跳出”目錄樹。從 Windows 方，它們沒有跟隨符號鏈接的指示。它將只作為普通的文件或目錄出現。我們將討論一些參數，它們可以更改這種行為使符號鏈接更安全。
　　
　　force user=
　　force user= 是我最喜歡用的參數之一。它強制所有文件修改都由單一用戶帳戶執行。通常需要和 valid users= 選項一起使用它來限制對某些用戶的訪問。因為所有文件操作都是使用單一用戶帳戶執行的，所以 force-user= 的一個副作用是您無法通過查看 Unix 文件權限知道誰做了什么。因此對于可寫的共享，force user= 選項應該帶有適當的安全性缺省值。沒有這個選項，所有文件操作就將由正在訪問共享的 Samba 用戶執行。
　　
　　force user 示例
　　force user=drobbins
　　
　　browseable=
　　一種增強安全性的簡單方法是使特定共享不可見。缺省情況下，共享在“網絡鄰居”中是可瀏覽的。使它們不可見可以幫助阻止不希望的黑客攻擊。但不應該將它用作安全性的唯一方法。只是因為共享不列在瀏覽列表中并不能防止從 Windows 訪問它。它只能減少您可能提供給不懷好意用戶的信

上一篇：Instgentoobasedonalphaplatform

下一篇：使用iptables設定使用NAT分享網絡頻寬