SMABA工具使用指南006

下载第6章Samba配置—Smb.conf目前使用S amba变得越来越流行，操作系统也随之发展到一个新阶段。现在应该将我们的讨论转移到共享资源设置的问题上。也就是说，我们已经结束了S amba安装过程。接下来应该把注意力集中在定义工作组和域中服务器的角色并指定应该共享哪些资源等问题上。本章我们将熟悉S a m b a配置文件s m b . c o n f的基本结构和语法。这个文件指定了s m b d和n mbd守护进程的运行行为。在接下来的第7章～第1 2章，我们将详细讨论S amba配置文件中分别与认证、域名服务、浏览、域控制、共享文件、共享打印机有关的部分和参数。第1 5章我们将讨论可以在s mb.conf文件中指定的管理和事件记录参数。附录C中给出了Samba 2.0.5a所携带的缺省s mb.conf文件的内容，在讨论配置文件的结构和语法时有一定的参考价值。S amba目录结构的/ examples子目录下也有该文件的联机拷贝。这个文件组织得很好，在建立自己的配置文件时可以用它做模板。访问smb.conf (5)联机帮助可以得到许多附加信息。$ man 5 smb.conf6.1 定制s mb.conf文件s mb.conf是一个纯A SCII码文件，可以用任何文本编辑器编辑。它的基本格式和Wi ndows的. INI文件相似。其中的配置信息分为若干节，并用该节的名字分开（见表6 -1）。每一节都指定了一项服务。有一个特定的g lobal节，它指定了整个系统和管理的缺省配置，以及服务器在工作组或域中所起的作用。文件中的其他节指定了服务器为网络中的客户提供的共享资源。可以通过各种参数来定义每一节的属性。注意有些参数只能用于g lobal节而另一些只能用于s hares节。表6-1 smb.conf节[ Global][ Homes][ Printers][ Name]系统角色和缺省值h ome目录共享打印机共享用户自定义共享6.2 语法和语义s mb.conf文件中的每一行可以表示节的名字，“参数=值”对或注释。每个节都以一个包含在方括号中的节名开始。节名之后是“参数=值”对，一行一对，描述了节的属性和作用（见样例6 -1）。节名和参数名都不区分大小写，但是字符串参数值仍要区分大小写。参数值可以是布尔值或字符串（见表6 -2）。每一行都以换行符作为结束符。继续到下一行则仍按照传统的U NIX方式用“\\”表示。注释行用“#”或“;”字符开头。除了字符串的空格符外，其他位置的空格符都没有实际意义。含有空格符的字符串不必用引号说明，如果在进行语法分析下载隔符。

第6章Samba配置—Smb.conf 55时发现了引号，将无条件忽略它。当参数值中含有多个项时，用空格符作为字符串之间的分

样例6-1 smb.conf节举例表6-2 smb.conf语法

“#”，“;”“\\”“%”

“[ name]”

“p arameter=value”“1 /0”，“y es/no”，“t rue/false”

标志注释行

继续到下一行变量前缀节名

一个配置选项布尔值

当修改了s mb.conf文件后，应使用t estparm命令检验修改的正确性。t estparm只是检查用户为每一节所指定的语法和选项的正确性，可保证指定的共享和服务能按照使用者的希望工作。如果指定了主机名或I P地址作为参数，它还会检查指定主机的访问权限。

$ tesparm <-s 配置文件名> <主机名I P地址>

6.3 SWAT

对于那些熟悉了G UI配置工具所提供的方便的使用和查错功能的使用者，Samba 2.x提供了一个基于We b的配置和管理，该工具名为Samba We b管理工具（S WAT）。由于S WAT是基于We b的，可以从远程工作站对其进行调用。对于那些管理若干在物理上分布范围比较广的服务器或在家中通过拨号上网修改配置的人来说，这个工具实在是太方便了。S WAT为s mb.conf文件中所包含的不同类型的节提供了H TML表格（见图6 -2）。S WAT简化了一般性的配置工作，使系统管理员将重点放在对节的定义上。

在一般的S amba编译和安装过程中，S WAT被缺省安装在$（根目录）/ swat目录下。在使用S WAT前，需要在/ etc/services和/ etc/inetd.conf文件中添加相应的项以说明系统的服务名和端口号。不要忘了在修改之后向i netd守护进程发出H UP信号。一旦系统中配置了S WAT，就可以用自己喜欢的浏览器通过下面的U RL使用S WAT服务了。S WAT将询问管理员的用户名和口令。

注意

小心，当S WAT重写s mb.conf文件时，它将删除所有的注释，包括“＝”和

“c opy=parameters”。如果你通过一个公共s mb.conf模板用这些参数支持多个s amba安装，请小心使用S WAT。

56第二部分安装与配置下载图6-1 Samba SWAT管理工具样例6-2 SWAT Internet服务配置6.4 变量和文件替换

S amba的一个强大功能就是可以用变量替换来简化s mb.conf的配置。S amba提供了一组固定的变量，都以“%”字符作为前缀，在执行过程中可以用值代替。在s mb.conf文件中的任何位置，只要一个字符值合法，就可以进行变量替换。例如，“% m”通常用于将提出请求的客户机的N etBIOS域名与一个本地服务器资源，如日志文件相连接。

log file=/usr/local/samba/var/%m.log

如果客户机的N e t B I O S域名为W I Z A R D，/ u s r / l o c a l / s a m b a / v a r / % m . l o g就会被替换为/ usr/local/samba/var/WIZARD.log。

某些变量只能用于s hares节中，其中包括被请示的服务名或合法的U NIX客户帐号名。剩下的变量名可用于所有的节中。表6 -3列出了Samba 版本2 .0所定义的变量集合。表的后半部分列出了s hares节变量。

下载第6章Samba配置—Smb.conf 57图6-2 SWAT节配置表举例表6-3 smb.conf所定义的变量

% u所在组的组名客户机的I P地址

服务器的N etBIOS域名。这样可以根据客户的请求修改配置。服务器可以有双重身份客户机的Internet DNS域名

NIS Home目录服务器域名。可以从N IS的a uto.map项获得。如果没有使用a utomount选项编译s amba，它的值和变量% L值相同。

% R经过协议协商后所选择的协议级别。可以是C ORE、C OREPLUS、L ANMAN1，L ANMAN2，或N T1

中的一个

% T当前的日期和时间% U会晤用户名（客户自己设定的用户名，不一定和它们所使用的实际U NIX用户名相同）% a远程机的结构。只有一部分可识别，而且不一定百分之百可靠。目前可识别S amba、w fwg、Win NT

和Wi n95。其他的都被标为“U NKNOWN”。如果得到了错误的结果，则向s amba-bugs@samba.org发送一份level 3 日志文件就可以修复

% d当前服务进程的P ID% h运行S amba的D NS主机名% m客户机的N etBIOS域名（非常有用）% p服务的h ome目录路径，可以从NIS auto.map项中获得。NIS auto.map的格式为“% N：% P”。% vS amba版本。s hares节变量% H% u所表示用户的H ome目录% P当前服务的根目录（如果有的话）% S当前服务的域名（如果有的话）% g% u所表示的用户所在组的名字% u当前服务的用户名（如果有的话）% G% I% L% M% N

58第二部分安装与配置下载用i nclude参数可以在对s mb.conf进行语法分析时用另一种方式插入文本。在s mb.conf文件中这个参数所在的位置插入字符串值路径所表示的文件。如果文件不存在，则忽略此参数。当维护一组S amba服务器时，可以用这种方式包含与机器相关的修改。

include = /usr/local/samba/lib/<服务器特定的s mb.conf文件>

c opy参数用于将一个以前定义的节拷贝到当前位置。新节中所定义的参数将覆盖s hares节中相应部分。

copy = <以前定义的节的名字>

6.5 自动运行

p reexec和p ostexec这两个参数允许客户在获取或释放共享资源时调用命令、s hell脚本和其他程序。除了使用root preexec和root postexes参数外，它们表示程序以r oot权限执行，程序都以% u变量所指定的用户的权限执行。在使用root preexec/postexec参数时，应仔细考虑程序的应用范围。在绝大多数情况下，在调用者用户权限下，有多种选择可以产生相同的结果。

p reexec＝<命令或脚本路径名>p ostexec＝<命令或脚本路径名>root preexec＝<命令或脚本路径名>

root postexec＝<命令或脚本路径名>

这些参数是管理公共资源的非常有用的工具。例如，可以用p reexec为一个用户在公共实验室创建工作目录并设置访问许可权限。当实验室的用户执行l ogout命令断开同共享资源的连接时，可以用调用p ostexec删除他的工作目录，并进行其他清除工作，例如删除w eb浏览器c ookies、书签以及别的保留性文件。这些参数还可以用于当获取共享资源后用弹出式窗口发出系统消息或提示性消息。

6.6 global节

s mb.conf配置文件中的g lobal节描述了服务器在工作组和域中的角色，定义了缺省的节参数值，设置了管理性文件的范围、位置和网络选项。角色信息包括服务器的N etBIOS域名和所在工作组的组名，以及服务器是否用作W INS服务器、主浏览器或是域控制器。定义节缺省参数避免了在后面的节中重复定义这些参数。如果需要的话，在某个节中为一个参数指定新值可以覆盖掉缺省值。

g lobal节指定了与特定资源共享定义无明显关系的S amba功能和特定。在第7～1 0章以及第1 5章，我们将详细讨论g lobal中的一些更复杂的功能定义，包括认证、域名服务、浏览和域配置。从测试的目的看，读者最好从样例6 -3所列的通用参数开始入手。表6 -4列出了所有的g lobal节参数。

样例6-3 global节参数实例

netbios name＝w orkgroup＝guestac count＝s ecurity＝

encrypt passwords＝

标识了服务器的N etBIOS域名标识了工作组或域

用于对服务进行g uest访问的用户帐号，标记为“guest ok”指定登录安全级别是u ser、s hare、s erver、还是d omain

如果要询问Wi n9x客户的加密口令，需要在s mbpasswd文件中记录N T加密口令，参见S ambad ocs目录的E NCRY PTION.txt文件。

下载load printers＝log file＝

max log site＝dns proxy＝

第6章Samba配置—Smb.conf 59（续）

从p rintcap文件中加载可浏览的打印机列表S amba日志文件路径

日志文件最大长度（以k字节为单位）

S amba是否可以通过D NS查找解析N etBIOS域名

表6-4 global参数列表

60第二部分安装与配置下载（续）下载第6章Samba配置—Smb.conf 61（续）

62第二部分安装与配置下载（续）

6.7 shares节

s hares节定义了S amba为工作组和域中的服务器提供的资源。其中包括两个预定义的节，H omes和P rinters，它们使得用户可以访问他们的UNIX $HOME目录，以及UNIX printcap文件所列出的打印机列表。s hares节的其他部分保证或限定了用户对其他目录和打印机的访问权限，或指定了保存roaming profiles的位置。表6 -5列出了s hares节的全部参数。阅读smb.conf (5)联机帮助可以得到关于每一个参数的详细描述。

如果s mb.conf中定义了h omes节，当找不到所请求的共享资源名时，就将它做为缺省的目标。然后将共享资源名视做服务器上一个合法的用户名，并扫描口令文件进行新的匹配。如果找到了用户名，则用服务器口令文件中的相应项认证所输入的口令。一旦口令是正确的，则通过克隆h omes节所指定的与用户的$ HOME目录相关的缺省参数创建新的共享资源名。第11章将介绍其他关于共享目录的信息。

如果S amba配置文件中定义了p rinters节，服务器将所请求的共享资源名和p rintcap文件中所列打印机名相比较。如果发现匹配，则通过拷贝p rinter节中的参数创建新的共享资源名。在第1 2章我们将详细讨论如何定义和共享打印机。

下载第6章Samba配置—Smb.conf 63表6-5 shares节参数列表

第二部分安装与配置下载（续）下载第6章Samba配置—Smb.conf 65（续）6.8 安全和访问控制

在接下来的几章，我们将讨论为了增强访问S amba共享资源和服务的安全性所做的特殊访问控制。正如俗话“预防强于治疗”所说，在进行详细讨论之前，简要了解S amba所提供的公共访问管理参数和工具还是有一定帮助的。

保障共享资源安全的第一步是接受友好用户的访问并拒绝有危险的用户的访问。可以在g lobal和s hares节中用hosts allow和hosts deny参数工作组和域中不同类型的主机的访问权。可以用主机名，I P地址和子网掩码指定主机。关键字e xcept用于连接子网掩码和I P地址以排除某个或某一组计算机（见样例6 -4)。

样例6-4 通过主机名和主机I P地址访问权也可以用u sername、only user、valid users和invalid users等参数某个或某一组用户的访问权限（见样例6 -5）。根据所用的参数，在用户获取访问权之前，将根据用户名列表对客

66第二部分安装与配置下载户所输入的用户名和/或口令进行检查。如果用户名以@或&字符作前缀，则说明相应的用户名代表一个N IS网络组。如果以＋字符作为前缀，则用U NIX组文件对该用户名进行检查。样例6-5 通过用户名访问权有时我们可能希望让每一个用户都能使用共享资源。这可以通过在s hares节定义中使用guest ok或g uest参数来实现。注意，即使已经获得了对共享资源的访问权，我们也仍然希望能在一定程度上客户的访问，这可以通过将客户访问映射到一个已知的U NIX用户名来实现（见样例6 -6）。这样，特定的用户名所拥有的访问权限就了客户的访问权限。样例6-6 客户访问权限也可以用表6 -6列出的参数为每个共享资源指定其他的访问权限。通常，客户机应按照以下一些规则访问共享资源和服务。如果满足以下条件，可以获得访问权：• 一个非受限客户所输入的用户名和口令与一个有访问权U NIX帐号名匹配。• 客户向服务器输入已注册的用户名和合法的口令。• 客户的N etBIOS域名和已注册的用户名都有合法的口令。• 客户拥有有效的用户名/口令对并为服务器提供合法的令牌。• 共享资源配置了user list参数，而且客户为用户名列表中的某个用户提供了合法的口令。• 共享资源配置了guest account参数，而且客户机提供了合法的用户帐号名。表6-6 其他的访问控制参数read onlyread listw riteablewrite okwrite listp rintableprint okr evalidategroup enforce named group rightsforce groupforce security modeforce directory security modecreate masksecurity maskforce security maskveto fileshide fileshide dot files隐藏所指定的文件指定许可权和u mask使每个访问有效可以打印资源写访问o k只读访问下载6.9 小结

• smb.conf配置文件分为g lobal节和s hares节。• 节由包含在方括号中的节名确定。• 节属性由一组预定义的参数指定。

第6章Samba配置—Smb.conf 67• 参数由“参数=值”对指定。值可以是字符串或布尔值。• 变量替换可以在运行时为参数赋值。

• include和c opy参数可以用于向配置文件中插入或复制节。

• preexec和p ostexec参数分别用于客户机连接共享资源或断开连接时调用命令或脚本。• 用t estparm命令可以检查对s mb.conf文件所做的修改是否正确。• SWAT是可以通过远程工作站调用的基于We b的s mb.conf配置工具。• SWAT服务和端口信息必须在/ etc/services和/ etc/inetd.conf文件中定义。• [global]域定义了服务器在工作组或域中的角色、节缺省参数以及管理员权限。• shares节描述了各个服务和相关的访问权限。• 有两个预定义的s hares节：h ome和p rinters。

• home节允许通过用自己的用户名作为所请求的共享资源建立与$ Home目录的连接。• printers节允许访问p rintcap文件所定义的打印机。

• 可以为主机、用户以及U NIX所允许的级别指定共享访问权限。