论坛: UNIX系统 标题: Samba服务典型的三种共享配置  复制本贴地址    
作者: afuhot [afuhot]    论坛用户   登录
Samba服务典型的三种共享配置 
 

pub - 不需要密码,且可读写及删除档案。  
read-only - 不需要密码,但只可以读取档案  
user1 - 需要密码,可读写及删除档案。 

步骤如下:

一、首先以root身分登录进入系统。 

二、编辑/etc/smb.conf文件,将"unix password sync = no"这个一句改为 "unix password sync = yes"。这样子的话,以后系统增加使用者时,会自动将该使用者的密码也更新到/etc/smbpasswd内 (Samba的帐号密码文件)。 

三、到/home目录下增加下列目录,并指定这些目录的权限: 

/home/pub nobody:nobody 777   
/home/read-only root:root 755   
/home/user1 user1:user1 700 

四、编辑/etc/smb.conf这个文件,修改:

  security = share 

五、编辑/etc/smb.conf这个文件,到文件最后面增加下面几句:

  [public]
  comment = Public Areas
  path = /home/pub
  browseable = yes
  guest ok = yes
  writable =yes

  [read-only]
  comment = Read-Only Areas
  path = /home/read-only
  browseable = yes
  guest ok = yes

  [user1]
  comment = Password Required
  path = /home/user1
  browseable = yes
  writable = yes

 完成后存盘离开。

六、重行运行Samba:

  samba restart


地主 发表时间: 08/25 18:01

回复: empty [empty]   论坛用户   登录
8.1 Samba和口令加密
微软并不喜欢S a m b a,他们有很好的理由不喜欢它。近来S a m b a性能的提高使得它在大多
数硬件上比Windows NT的文件和打印服务的缺省配置速度更快。
事实上,微软甚至讨厌S a m b a,以至于他们改变了Windows NT Service Pa c k 3的口令,以
避免它和S a m b a服务共享未加密的口令。S a m b a的缺省设置是针对未加密口令的,但是这样的
设置可以被修改以巧妙地战胜微软这种卑劣的胆怯。
最新的加密口令与在/ e t c / p a s s w d或/ e t c / s h a d o w文件中使用的D E S格式不相容,因此当启用
加密的口令时,S a m b a必须有自己独特的口令文件。如果与Windows NT Service Pack3或更高
的版本(Windows 98或更高)连接时,在客户开发工作之前,必须实现加密的口令。这是通
过删除以下两行(通常在/ e t c / s m b . c o n f文件的6 5或6 6行)的注释实现的:
encrypt passwords = yes
smb passwd file = /etc/smbpasswd
然后必须作为超级用户运行下面的命令以将S a m b a服务器重新启动:
/etc/rc.d/init.d/smb restart
当以上操作完成以后,将不再允许任何用户登录到S a m b a服务器。每个用户必须被超级用
户独立地加入到新的/ e t c / s m b p a s s w d文件中;实现上述操作的方法如下:
在这个命令执行时,用户名l u s e r必须在/ e t c / p a s s w d数据库中已经存在,当命令执行时,
/ e t c / s m b p a s s w d文件中将创建与下面相似的内容:
一旦根用户在/ e t c / s m b p a s s w d文件中创建了表项,那么各个用户可以使用不带参数的
s m b p a s s w d命令来改变他们自己的S a m b a口令。这个过程应该为系统中的每个用户执行,在一
个新的系统中,上面的操作应该是建立一个新的用户帐号的一部分操作。
在已经存在了许多帐号的旧系统中,用上面的方法来移植各个独立的用户有些不切实际。
在这种情况下,存在着一种(相当笨拙的)方法来移植这样的用户。要把已存在的未加密的
口令文件移植为/ e t c / s m b p a s s w d文件,那么不需要设置文件/ e t c / s m b . c o n f的加密选项。首先作
为超级用户执行以下的命令:
cat /etc/passwd | /usr/bin/mksmbpasswd.sh /etc/smbpsswd
chmod 600 /etc/smbpasswd
上述操作将为每个用户在/ e t c / s m b p a s s w d文件中创建一个表项,该表项的形式可能如下:
该表项不包含口令,而且用户无法对它进行修改。
下面的两个选项必须被加入到/ e t c / s m b . c o n f文件中:
update encrypted = yes
smb passwd file = /etc/smbpasswd
必须作为超级用户来运行下面的命令,以重启S a m b a服务:
/etc/rc.d/init.d/smb restart
这样,用户就可以使用旧的未加密客户来登录了(如同Windows 95一样),而且对每一个
用户帐号, / e t c / s m b p a s s w d文件都有一个加密的口令。
当移植完成后,文件/ e t c / s m b . c o n f中的选项update encrypted = yes 应被替换为e n c r y p t
passwords = yes。
S a m b a将切换到加密的版本,并且只有新的客户可以登录。
以上讨论的移植需要很好的计划、时间和深入的思考,尤其是对大型企业而言。在新客
户进入S a m b a网络之前应该试用几个月。

B1层 发表时间: 08/28 02:33

论坛: UNIX系统

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号