【51CTO獨家特稿】本文一步一步介紹了FreeBSD8.1下的samba的基礎(chǔ)配置。SMB協(xié)議可以看作是局域網(wǎng)上的共享文件/打印機的一種協(xié)議，它可以為網(wǎng)絡(luò)內(nèi)部的其它Windows和Linux機器提供文件系統(tǒng)、打印服務或是其他一些信息。而Samba是用來實現(xiàn)SMB的一種軟件，由澳大利亞的Andew Tridgell開發(fā)，是一種在Linux(Unix)環(huán)境下運行的免費軟件。通過使用Samba，Linux系統(tǒng)可以實現(xiàn)多種功能。有關(guān)Samba服務器更基礎(chǔ)的知識，可以參考之前一篇文章：Samba服務器簡介與快速配置指南。

作者簡介：余洪春（博客），網(wǎng)名撫琴煮酒，英文名Andrew.Yu，武漢某外企高級Linux/Unix系統(tǒng)管理員、項目實施工程師，紅帽RHCE講師，擅長負載均衡高可用和中小型證券類和商務網(wǎng)站架構(gòu)，目前關(guān)注網(wǎng)站架構(gòu)研究及網(wǎng)絡(luò)安全。

一、Samba基礎(chǔ)

1、 簡介

1)SMB協(xié)議

SMB(Server MessageBlock，服務信息塊)協(xié)議可以看作是局域網(wǎng)上的共享文件/打印機的一種協(xié)議，它可以為網(wǎng)絡(luò)內(nèi)部的其它Windows和Linux機器提供文件系統(tǒng)、打印服務或是其他一些信息。SMB的工作原理是讓NetBIOS(Win95網(wǎng)絡(luò)鄰居通信協(xié)議)與SMB這兩種協(xié)議運行在TCP/IP的通信協(xié)議上，且使用NetBIOS nameserver讓用戶的Linux機器可以在Windows的網(wǎng)絡(luò)鄰居里被看到，所以就可以和Win95/NT主機在網(wǎng)絡(luò)上相互溝通，共享文件與服務了。

2)什么是Samba

Samba是用來實現(xiàn)SMB的一種軟件，由澳大利亞的Andew Tridgell開發(fā)，是一種在Linux(Unix)環(huán)境下運行的免費軟件。

通過使用Samba，Linux系統(tǒng)可以實現(xiàn)如下功能：

● 文件服務和打印服務(在Linux和Win95/NT之間系統(tǒng)之間提供打印機和磁盤的共享)

● 登陸服務器，使用Windows客戶能注冊到網(wǎng)絡(luò)上

● 作為主要域控制器和域中成員的功能

● WINS服務器以及瀏覽功能

● 支持SSL(Secure Socket Layer)

● 支持SWAT (Samba Web Administration Tool )

Samba除了支持Linux(Unix)和Win95/NT之外，還支持DOS、IBM OS/2、Macintosh 等操作系統(tǒng)。

2、Samba的記錄文件

Samba為smbd、nmbd和訪問Samba的客戶提供了下列記錄文件，分別記錄有關(guān)smbd、nmbd運行信息和每個客戶的訪問信息：

記錄smbd 信息

/var/log/samba/log.smb

記錄nmbd信息

/var/log/samba/log.nmb

記錄客戶訪問信息

/var/log/samba/log.%m

3、在FreeBSD8.1下配置samba34

#cd /usr/ports/net/samba34
#make install clean

進行默認配置，不進行任何改動

#cp /usr/local/share/examples/samba34/smb.conf.default /usr/local/etc/smb.conf
#vi /usr/local/etc/smb.conf

加入如下東西

[dev]
path = /usr/local/dev
public = yes
only guest = yes
writable = yes
printable = no

添加smbpasswd用戶

#/usr/local/bin/smbpasswd -a username添加用戶名，更具提示信息來進行操作
#vi /etc/rc.conf

加入

nmbd_enable=”YES”
smbd_enable=”YES”

手動啟動就是

#/usr/local/etc/rc.d/samba start

二、FreeBSD8.1下Samba配置及使用

1、定制文件/etc/smb.conf

在安裝完Samba后，還需要定制它的配置文件smb.conf，才能使Samba正常工作以符合要求。由于SMB是一個非常復雜的協(xié)議，所以配置Samba的工作也是比較繁瑣的，大約有超過170條配置項出現(xiàn)在smb.conf文件中。

1)smb.conf的語法

smb.conf文件有一個清晰的語法結(jié)構(gòu)，與Windows的*.ini文件十分類似。如下所示：

該文件被分成幾部分，每一部分都包括幾個參數(shù)，用來定義Samba輸出的共享及其詳細操作。

文件被分隔成若干節(jié)，每一節(jié)都由一個被方括號括起來的標識開始(例如，[global]、[home]、[printers])，每一個配置參數(shù)或是一個全局參數(shù)(影響或控制整個服務器)，或是一個服務參數(shù)(影響或控制服務器提供的某項服務　　)。

global部分定義的參數(shù)用來控制Samba的總特性。除global部分外，每一部分都定義了一個專門的服務。

你可以使用下面的語句來指定一個參數(shù)：

name=VALUE

name可以是一個單詞或者用空格隔開的多個單詞。VALUE可以是布爾值(ture或false;yes或no;1或0)、數(shù)字或字符串。

注釋以分號開頭，可以單獨一行，也可以跟在一條語句之后。

通過在一行的最后一個字符后加反斜杠"\"可以將一行分成多行。

每一部分的名字和參數(shù)都不區(qū)分大小寫，例如，參數(shù)browseable=yes與browseable=YES是完全等價的

2)smb.conf文件的功能

smbd和nmbd這兩個守護進程啟動時(通常為系統(tǒng)引導時)讀配置文件smb.conf，這一配置文件向這兩個守護進程說明輸出什么共享、共享輸出給誰以及如何進行輸出等等。因為安全問題是最重要的，所以你必須指定哪些計算機可以訪問這一共享，smb.conf文件可以很靈活的明確指定每一服務有哪些用戶可以訪問。隨著Linux網(wǎng)絡(luò)的增大，這一控制越來越重要。

3)smb.conf文件結(jié)構(gòu)

smb.conf文件主要包括三部分：

● global(全局)參數(shù)

● directory shares (目錄共享)部分--包括標準的[home]部分

● printer shares(打印共享)部分

其中，global參數(shù)用來設(shè)置整個系統(tǒng)的規(guī)則;[home]部分和[printer]部分是服務的特定例程，services(服務)這一術(shù)語是網(wǎng)絡(luò)客戶機共享或輸出的目錄和打印機的Samba術(shù)語。這些服務定義了哪些用戶可以訪問這些目錄和打印機以及如何訪問這些目錄和打印機。

下面的清單給出了smb.conf文件的一個簡單的例子。

[global]
workgroup = MYGROUP
server string = Samba Server
security = user
printing = lprng
log file = /var/log/samba
lock directory = /var/lock/samba
[homes]
comment = Home Directory
browseable = no
read only = no
[printers]
browseable = no
guest ok = yes
printable = yes

在 [global] 段中設(shè)置了主機名稱, 主機所在的工作組名稱和瀏覽時可看到的對本機的描述。安全參數(shù)告訴 Samba使用"用戶級別"的安全保護方式。 SMB 有兩種安全模式： 共享級別, 將資源加密碼控制;用戶級別, 可以使用某一用戶的所有資源。

這里不能詳細解釋兩種方式的微妙差別, 但大部分情況下, 你會想用用戶級別安全控制。

[global] 段中還定義了日志文件目錄和鎖定文件的位置。日志文件在解決故障和完善系統(tǒng)時是很有用的，鎖定文件可以阻止多個用戶同時修改相同的文件。

[homes] 段中的設(shè)置控制了每一個用主目錄的共享權(quán)限。comment 參數(shù)指定的字符串在你瀏覽本機資源時出現(xiàn)在指定資源的旁邊。

browseable 參數(shù)控制一項服務是否能夠出現(xiàn)在網(wǎng)絡(luò)資源瀏覽表中。這里是一些非直覺的東西, browseable = no意味著這個目錄將在瀏覽時顯示為要驗證的用戶名稱。 舉例來說, 指定 browseable = no, 當我瀏覽這個 Samba 服務器時,我將看到一個名稱為 cuckoo 的共享目錄。當指定 browseable = yes 時, 我將看到一個名為 homes 和 cuckoo的共享目錄。設(shè)置 read only = no 將允許通過驗證的用戶對主目錄有寫入的權(quán)限。 但是, 如果他們的主目錄的 UNIX 權(quán)限 不允許寫入,那么他們就沒有寫的權(quán)限。 無論 UNIX 的權(quán)限怎樣, 設(shè)置 read only = yes 后, 他們的主目錄是只讀的。

printing 命令描述了本地打印系統(tǒng)類型, 這可以讓 Samba 知道怎樣提交打印任務, 顯示打印隊列, 刪除打印任務和其它操作。

如果打印系統(tǒng)是 Samba 所不知道的, 你必須在每次執(zhí)行打印操作時指明命令。

清單中[printing]一段配置允許任何能夠登錄到 Samba 服務器的用戶使用 printcap 中出現(xiàn)的 每一臺打印機。 正常情況下,如果使用用戶級別安全控制, guest ok = yes 并不能授權(quán)每一個用戶(使用系統(tǒng))。 每一個打印服務必須定義為 printable =yes。

三、在window xp下共享samba比較實用的辦法

FreeBSD8.1安裝完samba34后，如果將實際用戶添加進samba用戶庫中，則FreeBSD機器本身的用戶就是samba用戶，他可以默認對自己的/home/用戶目錄進行讀寫，我們可以用磁盤映射的辦法來做;這樣windows機器默認啟動后，就有一個遠程的磁盤可以讀寫，這樣方例自己工作，截圖如下：

 

四、windows下更換用戶訪問Samba服務器

在Windodows客戶機訪問Samba服務器時，常出現(xiàn)的一種現(xiàn)象是：在建立了訪問Samba服務器的連接之后，再次訪問該服務器時，不再出現(xiàn)身份認 證對話框，這樣便無法更換用戶身份，很多同學喜歡用注銷來解決這個問題，這樣很麻煩而且也浪費時間;其實造成這一現(xiàn)象的原因是Windows本身的機制問 題更確切地說這是SMB服務的問題，由于NETBIOS服務是面向連接的，當客戶與Samba服務器建立連接后，此連接在一段時間內(nèi)始終是活躍的，所以當 用戶再次訪問該服務器時,便采用了前面的身份而無需再次驗證身份解法方法：net use \\samba文件服務器IP地址\IPC$ /delete，在成功刪除共享連接后即可更換用戶身份訪問Samba服務器。

五、關(guān)于samba服務使用的端口

實驗過程中，發(fā)現(xiàn)samba服務雖然監(jiān)聽了四個端口，但僅僅使用445端口用來傳輸數(shù)據(jù)，為了驗證此說明，特地開了防火墻及抓包工具來驗證，及INPUT和OUTPUT默認為DROP,然后加上

iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 445 -j ACCEPT

samba服務就能與客戶端正常通訊及提供數(shù)據(jù)了，特地用抓包工具wireshark抓了下包，證實了此說法。很多教材上面說還要采用137、138、139等端口，這種說法也是成立的，這是由于將samba作了WINS服務 器的原因，即UDP138、UDP139是進行NETBIOS解析的;如果不進行NETBIOS解析的話，445端口夠用了。簽于目前RHEL5教材只用 445端口，大家在建samba服務器時也可采取這種做法。

六、通過主機名稱和IP地址列表控制Samba訪問

vi /etc/samba/smb.conf ,在[global]中添加:

hosts allow=192.168.1.0/24 127.0.0.1

即指示服務器只接受網(wǎng)絡(luò)192.168.1.0中的主機和本地主機接受主機訪問,也可以使用主機名代替IP地址，如果無此項的話，即默認允許所有主機訪問，加入此項后，就默認禁止192.168.1.0和本機以外的主機訪問samba服務器

hosts allow=mail.test.com

當然,如果禁止的只是少數(shù)機子,可以用下列語法來實現(xiàn)

hosts allow=test.com EXCEPT mail.test.com

在實際工作中，推薦寫在點分十進制方便記憶：即hosts allow =192.168.1.0/255.255.255.0;如果在現(xiàn)實中,要同時實現(xiàn)用戶服務和主機的訪問控制,可采用PAM(可插入認證模塊),即 samba+PAM，它實現(xiàn)的功能是允許特定用戶通過特定主機訪問samba服務器。

【51CTO.com獨家特稿，轉(zhuǎn)載請注明原文作者和出處?！?/p>

【編輯推薦】

1. Samba服務器是什么
2. Samba服務器簡介與快速配置指南
3. 詳細講解CentOS Samba 服務器的配置
4. 如何配置linux虛擬機samba服務