|
7.1.3 Samba服務器的工作模式及設置
在Samba主配置文件smb.conf中�,一項重要的設置(security設置語句)就是Samba服務器的工作模式(也稱"安全級別")的設
置。其實也就是Samba服務器與Windows服務器之間的5種協(xié)調工作方式��。這5種工作模式就是share�����、user���、server���、domain和
ads。下面分別介紹這5種工作模式的具體含義�����。
share(共享模式)
在這種模式下�,用戶對Samba服務器的訪問無須進行身份驗證�,也就是不用輸入用戶名和密碼(也就是允許匿名訪問)����,用戶的訪問權限僅由相應用戶對共享文件的訪問權限決定。這是最簡單�,但也是最不安全的一種Samba服務器訪問方式。除非是很小的網(wǎng)絡���,一般不這樣設置。
如果要設置成該模式����,在主配置文件smb.conf中只需要把security語句設置成以下格式即可: - security = share
user(用戶模式)
在這種模式下,用戶對Samba服務器的訪問是由Samba服務器依據(jù)本地賬戶數(shù)據(jù)庫對訪問用戶進行身份驗證的�,安全級別比share模式高一些。
這就要求每個訪問用戶必須在Samba服務器上有它本地的Linux用戶賬戶(前面說了�,多個Windows賬戶可以映射成一個Linux賬戶,可以在
/etc/smb/smbusers文件中配置)����,當然也可以為各需要權限的用戶在Samba服務器中新建相應的用戶賬戶。這是Samba服務器的默認設
置�����。
設置user工作模式時需要對smb.conf主配置文件按如下格式修改: - security = user # 設置工作模式為user
- guest account = smb # 指定來賓賬戶為Samba
(當然可以是其他賬戶名稱,也是需要正 - 確輸入賬戶名和密碼的)��。出于安全考慮����,通常不直
接采用guest作為來 - 賓賬戶名。本語句需要新添加�����。如果不允許以來賓賬戶訪問�����,則不用
- 配置此語句����。
- encrypt passwords = yes # 設置對認證過程
中的用戶口令進行加密。本語句也是需要新添加��。 - smb passwd file = /etc/Samba/smbpasswd # 設
置Samba服務器的密碼文件名和路徑����。本語句也 - # 需要新添加
當主配置文件smb.conf采用user模式設置后,需要設置Samba密碼文件�,建立smbpasswd文件中的用戶賬號和口令�����,使其與/etc/passwd的賬號和口令相同�。
server(服務器模式)
在這種模式下����,必須指定用于對Samba服務器中對共享文件進行訪問的用戶進行身份驗證的服務
器。這種模式的用戶訪問是由其他專門的服務器對訪問用戶進行身份驗證��,安全級別又比user模式高一些�。這個服務器可以是Windows
NT/2000/2003或其他Samba服務器。
Server模式與user模式其實是類似的����,只不過實現(xiàn)身份驗證的不是本地Samba服務
器���,而是網(wǎng)絡中的其他服務器���。如果在指定的服務器上身份驗證失敗,則退到user安全級�����,采用本地Samba服務器對訪問用戶進行身份驗證。所以����,從用戶
端來看,server模式和user模式?jīng)]什么本質區(qū)別���,只是用于身份驗證的服務器的位置不一樣�����。
設置server模式時需要對smb.conf文件進行如下修改: - security = server # 設置工作模式為server
- guest account = Samba # 指定來賓賬戶為Samba
(當然也可以是其他賬戶名稱)���。本語句需要新添加 - password server = pwdserver # 指定用于身
份驗證的服務器NetBIOS名稱。本語句也需要新添加 - encrypt passwords = yes # 指定用戶口令在驗
證過程中加密發(fā)送�。本語句也需要新添加 - smb passwd file = /etc/Samba/smbpasswd #
設置密碼文件名和路徑。本語句也需要新添加
domain(域模式)
這種模式是把Samba服務器加入到Windows域網(wǎng)絡中�,作為域中的成員。但在這種模式
中�,擔當用戶對Samba服務器的訪問身份驗證的是域中的PDC(主域控制器),而不是Samba服務器���。采用這種模式時�,主配置文件smb.conf需
要進行以下修改(同時要用"#"符號注釋掉默認文件中的smb passwd file=/etc/Samba/smbpasswd語句): - security = domain # 設置工作模式為domain
- workgroup = domain # 指定Windows域名(NetBIOS格式)
- password server = PDC_NAME # 指定擔當身
份驗證服務器的PDC的NetBIOS名稱
ads(活動目錄模式)
這是Linux系統(tǒng)Samba服務器的一種新工作模式(原來只有前4種),用于把Samba服務器加入到Windows 2000
Server��、Windows Server
2003活動目錄域中��,并具備活動目錄域控制器的功能�。這時Samba服務器就相當于一臺域控制器了,可以自己使用活動目錄中的賬戶數(shù)據(jù)庫對用戶的訪問進
行身份驗證��。
采用ads工作模式時�����,主配置文件smb.conf需要進行以下修改: - security = ads # 設置工作模式為ads
- realm = MY_REALM # 指定Windows域名(DNS格式)
- ads server = ads_server # 指定擔當身份
驗證服務器的服務器DNS名稱
|
