|
7.1.3 Samba服務(wù)器的工作模式及設(shè)置
在Samba主配置文件smb.conf中���,一項(xiàng)重要的設(shè)置(security設(shè)置語(yǔ)句)就是Samba服務(wù)器的工作模式(也稱(chēng)"安全級(jí)別")的設(shè)
置���。其實(shí)也就是Samba服務(wù)器與Windows服務(wù)器之間的5種協(xié)調(diào)工作方式。這5種工作模式就是share��、user��、server��、domain和
ads���。下面分別介紹這5種工作模式的具體含義。
share(共享模式)
在這種模式下,用戶(hù)對(duì)Samba服務(wù)器的訪問(wèn)無(wú)須進(jìn)行身份驗(yàn)證��,也就是不用輸入用戶(hù)名和密碼(也就是允許匿名訪問(wèn))����,用戶(hù)的訪問(wèn)權(quán)限僅由相應(yīng)用戶(hù)對(duì)共享文件的訪問(wèn)權(quán)限決定。這是最簡(jiǎn)單����,但也是最不安全的一種Samba服務(wù)器訪問(wèn)方式。除非是很小的網(wǎng)絡(luò)���,一般不這樣設(shè)置�����。
如果要設(shè)置成該模式�,在主配置文件smb.conf中只需要把security語(yǔ)句設(shè)置成以下格式即可: - security = share
user(用戶(hù)模式)
在這種模式下��,用戶(hù)對(duì)Samba服務(wù)器的訪問(wèn)是由Samba服務(wù)器依據(jù)本地賬戶(hù)數(shù)據(jù)庫(kù)對(duì)訪問(wèn)用戶(hù)進(jìn)行身份驗(yàn)證的��,安全級(jí)別比share模式高一些��。
這就要求每個(gè)訪問(wèn)用戶(hù)必須在Samba服務(wù)器上有它本地的Linux用戶(hù)賬戶(hù)(前面說(shuō)了����,多個(gè)Windows賬戶(hù)可以映射成一個(gè)Linux賬戶(hù)��,可以在
/etc/smb/smbusers文件中配置)�,當(dāng)然也可以為各需要權(quán)限的用戶(hù)在Samba服務(wù)器中新建相應(yīng)的用戶(hù)賬戶(hù)����。這是Samba服務(wù)器的默認(rèn)設(shè)
置。
設(shè)置user工作模式時(shí)需要對(duì)smb.conf主配置文件按如下格式修改: - security = user # 設(shè)置工作模式為user
- guest account = smb # 指定來(lái)賓賬戶(hù)為Samba
(當(dāng)然可以是其他賬戶(hù)名稱(chēng)��,也是需要正 - 確輸入賬戶(hù)名和密碼的)�����。出于安全考慮�����,通常不直
接采用guest作為來(lái) - 賓賬戶(hù)名�����。本語(yǔ)句需要新添加���。如果不允許以來(lái)賓賬戶(hù)訪問(wèn)��,則不用
- 配置此語(yǔ)句��。
- encrypt passwords = yes # 設(shè)置對(duì)認(rèn)證過(guò)程
中的用戶(hù)口令進(jìn)行加密�����。本語(yǔ)句也是需要新添加��。 - smb passwd file = /etc/Samba/smbpasswd # 設(shè)
置Samba服務(wù)器的密碼文件名和路徑�。本語(yǔ)句也 - # 需要新添加
當(dāng)主配置文件smb.conf采用user模式設(shè)置后�����,需要設(shè)置Samba密碼文件�����,建立smbpasswd文件中的用戶(hù)賬號(hào)和口令�����,使其與/etc/passwd的賬號(hào)和口令相同�。
server(服務(wù)器模式)
在這種模式下,必須指定用于對(duì)Samba服務(wù)器中對(duì)共享文件進(jìn)行訪問(wèn)的用戶(hù)進(jìn)行身份驗(yàn)證的服務(wù)
器����。這種模式的用戶(hù)訪問(wèn)是由其他專(zhuān)門(mén)的服務(wù)器對(duì)訪問(wèn)用戶(hù)進(jìn)行身份驗(yàn)證����,安全級(jí)別又比user模式高一些�。這個(gè)服務(wù)器可以是Windows
NT/2000/2003或其他Samba服務(wù)器。
Server模式與user模式其實(shí)是類(lèi)似的�,只不過(guò)實(shí)現(xiàn)身份驗(yàn)證的不是本地Samba服務(wù)
器,而是網(wǎng)絡(luò)中的其他服務(wù)器��。如果在指定的服務(wù)器上身份驗(yàn)證失敗���,則退到user安全級(jí)�����,采用本地Samba服務(wù)器對(duì)訪問(wèn)用戶(hù)進(jìn)行身份驗(yàn)證��。所以����,從用戶(hù)
端來(lái)看�,server模式和user模式?jīng)]什么本質(zhì)區(qū)別,只是用于身份驗(yàn)證的服務(wù)器的位置不一樣�。
設(shè)置server模式時(shí)需要對(duì)smb.conf文件進(jìn)行如下修改: - security = server # 設(shè)置工作模式為server
- guest account = Samba # 指定來(lái)賓賬戶(hù)為Samba
(當(dāng)然也可以是其他賬戶(hù)名稱(chēng))��。本語(yǔ)句需要新添加 - password server = pwdserver # 指定用于身
份驗(yàn)證的服務(wù)器NetBIOS名稱(chēng)���。本語(yǔ)句也需要新添加 - encrypt passwords = yes # 指定用戶(hù)口令在驗(yàn)
證過(guò)程中加密發(fā)送����。本語(yǔ)句也需要新添加 - smb passwd file = /etc/Samba/smbpasswd #
設(shè)置密碼文件名和路徑。本語(yǔ)句也需要新添加
domain(域模式)
這種模式是把Samba服務(wù)器加入到Windows域網(wǎng)絡(luò)中���,作為域中的成員�。但在這種模式
中���,擔(dān)當(dāng)用戶(hù)對(duì)Samba服務(wù)器的訪問(wèn)身份驗(yàn)證的是域中的PDC(主域控制器)��,而不是Samba服務(wù)器�。采用這種模式時(shí)���,主配置文件smb.conf需
要進(jìn)行以下修改(同時(shí)要用"#"符號(hào)注釋掉默認(rèn)文件中的smb passwd file=/etc/Samba/smbpasswd語(yǔ)句): - security = domain # 設(shè)置工作模式為domain
- workgroup = domain # 指定Windows域名(NetBIOS格式)
- password server = PDC_NAME # 指定擔(dān)當(dāng)身
份驗(yàn)證服務(wù)器的PDC的NetBIOS名稱(chēng)
ads(活動(dòng)目錄模式)
這是Linux系統(tǒng)Samba服務(wù)器的一種新工作模式(原來(lái)只有前4種)����,用于把Samba服務(wù)器加入到Windows 2000
Server�、Windows Server
2003活動(dòng)目錄域中��,并具備活動(dòng)目錄域控制器的功能�����。這時(shí)Samba服務(wù)器就相當(dāng)于一臺(tái)域控制器了��,可以自己使用活動(dòng)目錄中的賬戶(hù)數(shù)據(jù)庫(kù)對(duì)用戶(hù)的訪問(wèn)進(jìn)
行身份驗(yàn)證����。
采用ads工作模式時(shí)�,主配置文件smb.conf需要進(jìn)行以下修改: - security = ads # 設(shè)置工作模式為ads
- realm = MY_REALM # 指定Windows域名(DNS格式)
- ads server = ads_server # 指定擔(dān)當(dāng)身份
驗(yàn)證服務(wù)器的服務(wù)器DNS名稱(chēng)
|
