28期 只有堅持才能夢想成真

兄弟連我和大家都在努力，都在堅持，為了自己的理想和未來。雖然感覺之前的學習成果不是太好!但是我相信通過我的堅持我會成功的。

筆記 samba在企業中的簡單應用案例

【案例要求與分析:】

需求1

所有的員工都能在公司內漫遊辦公，但不管在那台電腦上工作，都要把自己的檔案資料庫存在samba檔案伺服器上。

分析：

需要samba作為檔案伺服器，為所有的使用者建立帳號和目錄

需求2

為所有的使用者建立帳號和目錄，不分配shell

假設市場部有tom、jack，他們屬於sales組

技術部有red、blue，他們屬於tech組

總經理是ceo、財務是fineance，他們均屬於lead組

分析：

建組sales，tech及leader組

所有市場部的員工加入sales組

技術部的員工加入tech組

ceo和fineance加入leader組

需求3

sales組的檔案只有tom和leader組的人可以讀寫，其它人只能看(非認證使用者是不能進入目錄的)；tech組的檔案只有red和leader組的人可以讀寫，其它人只能看(非認證使用者是不能進入目錄的)；

分析：

通過samba許可權控制來做。

【實施步驟】

首先是安裝samba34。

伺服器系統 freebsd 8.1-64bit

samba版本 samba3.4

#cd /usr/ports/net/samba34

#make install clean

#cp /usr/local/share/examples/samba34/smb.conf.default /usr/local/etc/smb.conf

#echo 'nmbd_enable="yes"' >> /etc/rc.conf

#echo 'smbd_enable="yes"' >> /etc/rc.conf#記得用》追加符，不然你的rc.conf檔案會被清零的:)

啟動samba

#/usr/local/etc/rc.d/samba start

先建立組和使用者。把使用者加入相應的組，給使用者分配乙個不可用的shell；由於組比較多，我建議在紙上畫好組織結構圖，這樣也方便自己理解。

新增使用者組

# pw groupadd sales

# pw groupadd tech

# pw groupadd leader然後用pw groupshow分別得知sales、tech及leader的gid分別為1005、1006和1007

新增使用者

# pw useradd tom -s /sbin/nologin -g 1005

# pw useradd jack -s /sbin/nologin -g 1005

# pw useradd red -s /sbin/nologin -g 1006

# pw useradd blue -s /sbin/nologin -g 1006

# pw useradd ceo -s /sbin/nologin -g 1007

# pw useradd fineance -s /sbin/nologin -g 1007

將其分別新增進samba使用者庫，此處的samba密碼盡量選擇不一樣，並注意密碼的複雜性。

# smbpasswd -a jack

new smb password:

retype new smb password:

added user jack.

# smbpasswd -a red

new smb password:

retype new smb password:

added user red.

# smbpasswd -a blue

new smb password:

retype new smb password:

added user blue.

# smbpasswd -a ceo

new smb password:

retype new smb password:

added user ceo.

# smbpasswd -a fineance

new smb password:

retype new smb password:

mismatch - password unchanged.

unable to get new password.

research_jail# smbpasswd -a fineance建立samba的檔案目錄，並分配許可權。

建立samba的檔案目錄，並分配許可權。

# mkdir /home/sales

# mkdir /home/tech

# ls -ld /home/sales

drwxr-xr-x 2 root wheel 512 jan 25 05:36 /home/sales

# ls -ld /home/tech

drwxr-xr-x 2 root wheel 512 jan 25 05:36 /home/tech

#給予sales和tech目錄777許可權的目的，是為了防止它們被本身的許可權控制，使用者能訪問目錄的最終許可權是被檔案目錄的許可權和samba許可權的最小許可權交集所控制

# chmod 777 /home/sales

# chmod 777 /home/tech

給這個二個目錄建議sgid許可權，將能建立的檔案都劃歸其組所有

# chgrp sales /home/sales

# chgrp tech /home/tech

# chmod g+s /home/sales

# chmod g+s /home/tech

[root@localhost samba]# ls -ld /home/sales /home/tech

# ls -ld /home/sales /home/tech

drwxrws--- 2 root sales 512 jan 25 05:36 /home/sales

drwxrws--- 2 root tech 512 jan 25 05:36 /home/tech

用samba的許可權來嚴格限制這二個目錄的許可權

修改配置檔案vim /etc/samba/smb.conf,在檔案的最後加入目錄

[sales]

path = /home/sales

public = no

valid users = @sales,@leader

write list = tom,@leader

create mask = 0770

directory mask = 0770

[tech]

path = /home/tech

public = no

valid users = @tech,@leader

write list = red,@leader

create mask = 0770

directory mask = 0770重啟伺服器

#/usr/local/etc/rc.d/samba start總結

測試時我為了避免windows的netbios的bug問題，直接開了三颱windows機器，外加n臺虛擬機器，省得不停的net use /delete，免得鬧心；測試結果還是比較成功的，其實這裡主要也只牽涉到三個知識點，我這裡歸納下：

一、使用者的最終許可權分配為目錄的許可權和samba許可權的最小交集；

二、valid為認證使用者，沒經過認證的使用者是不能看到其目錄的檔案的；