資源描述:
《samba服務(wù)的高級進(jìn)階配置》由會員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫����。
1���、samba服務(wù)的高級進(jìn)階配置Intel嵌入式設(shè)計(jì)開發(fā)者秘笈(精品)[上海央邦]學(xué)一送一,超值!定向委培RHCA,通過考試年薪10W???????安博亞威】CCIE考試通過率第一![OPENLAB]RHCE+架構(gòu)師優(yōu)惠2200元試聽一個月,高端IT技術(shù),五大項(xiàng)目3年經(jīng)驗(yàn)中國IT實(shí)驗(yàn)室收集整理peter2011-3-910:39:20保存本文推薦給好友收藏本頁歡迎進(jìn)入Linux社區(qū)論壇��,與200萬技術(shù)人員互動交流>>進(jìn)入本文將學(xué)習(xí)一下幾個方面的內(nèi)容����,將會結(jié)合具體的實(shí)驗(yàn)來一步步實(shí)現(xiàn)����。1��、用戶賬號的映射2���、使用IP對客戶端進(jìn)行訪問控制3��、使用域名對客戶端進(jìn)行訪問控制4�����、使用通配
2�、符對客戶端進(jìn)行訪問控制5���、設(shè)置samba的權(quán)限6、設(shè)置samba的隱藏共享7����、Samba客戶端的配置8�����、Samba的排錯Samba服務(wù)器的常規(guī)配置很容易就可以實(shí)現(xiàn)����,但是并不能夠滿足企業(yè)的實(shí)際需求�,所以需要做更加詳細(xì)的配置。(一)�、用戶賬號的映射因?yàn)閟amba服務(wù)器的賬號必須對應(yīng)一個同名的系統(tǒng)賬號�,所以就造成了這樣的安全缺陷:只要知道samba服務(wù)器的samba賬號�,就等于知道了服務(wù)器的系統(tǒng)賬號����,只要破解其密碼��,從而加以利用,就可以來攻擊samba服務(wù)器���。對于這個問題可以用賬號的映射功能來加以解決��。方式:建立一個賬號映射關(guān)系表,里面記錄著samba賬號和虛擬賬號的對應(yīng)關(guān)系
3�、�,客戶端訪問時使用虛擬賬號登錄。這樣告訴客戶端用戶的samba賬號就不是和系統(tǒng)賬號相對應(yīng)的那個賬號���,而又可以訪問samba服務(wù)器�。下面是具體實(shí)現(xiàn)的步驟1����、開啟用戶賬號映射功能��,在全局設(shè)置中添加一行2、編輯smbusers�����,smbusers保存賬號映射關(guān)系���,添加一行用戶的賬號映射關(guān)系把sale1映射為skyapple3、重啟samba服務(wù)4�、驗(yàn)證��,在windows客戶端用sky或者apple登錄見下圖�,登錄成功備注:建議不要把本地系統(tǒng)用戶的密碼和samba用戶的密碼設(shè)置成為一樣��。(二)���、使用IP對客戶端進(jìn)行訪問控制需要用到hostallow和hostdeny字段Hosta
4、llow定義可以訪問的客戶端Hostdeny定義禁止訪問的客戶端案例:公司內(nèi)部samba服務(wù)器上共享了一個目錄sales�����,該目錄文件為銷售部的共享目錄,公司規(guī)定192.168.0.0/16這個網(wǎng)段的IP地址都不能訪問該目錄��,但是192.168.1.1/24這個地址可以訪問����,對于該需求���,我們可做如下配置編輯samba的主配置文件vi/etc/samba/smb.conf首先把安全級別改為share模式在sales共享目錄下添加hosts字段���,如圖Hostsdeny=192.168.0.0表示拒絕所有來自該網(wǎng)段的IP地址的訪問Hostsallow=192.168.1.1表示
5����、允許該IP地址訪問注意:當(dāng)hostsdeny和hostsallow字段同時出現(xiàn)的時候,hostsallow優(yōu)先���。我們在客戶端驗(yàn)證一下,用192.168.1.100訪問����,錯誤信息如下這樣就達(dá)到了IP限制客戶端訪問的目的(三)�、使用域名對客戶端進(jìn)行限制示例:公司samba服務(wù)器上共享了一個目錄public����,公司規(guī)定.sale.com域和.net域的客戶端不能訪問����,同時�,主機(jī)名為free的客戶端也不能訪問分析:這個案例很明顯不適合用IP限制來做��,因?yàn)橐粋€域中可能會有很多臺客戶端,所以可以使用域名限制����,如圖:注意:域名和域名之間或域名和主機(jī)名之間要用“空格”符號隔開(四)�、使用
6、通配符進(jìn)行訪問控制示例:samba服務(wù)器共享了一個目錄sales�����,規(guī)定所有人不允許訪問�����,只有主機(jī)名為cli-3e723d915cf.的客戶端可以訪問把安全級別改回user將上面設(shè)置的主機(jī)名加入到samba服務(wù)器的本地hosts文件中���,讓samba可以解析該地址別忘了重啟samba服務(wù)然后到客戶端驗(yàn)證一下吧�����,我們先用boss帳戶,可以正常訪問看到上面的共享文件界面后�����,下面是sales文件夾的內(nèi)容,訪問成功備注:常用的通配符還有:“*”�、“�?”�����、“LOCAL”等案例:規(guī)定所以人不能訪問sales目錄,只允許192.168.1.0網(wǎng)段的IP地址訪問����,但是192.168.1.1
7����、00除外下面我們看看具體的實(shí)現(xiàn)步驟修改配置文件,使用EXCEPT進(jìn)行設(shè)置用192.168.1.100客戶端驗(yàn)證一下最后說一下hostsdeny和hostsallow的作用范圍它們的作用范圍是不同的��,設(shè)置在[global]里表示對samba服務(wù)器生效��,如果設(shè)置在目錄下,則表示對單一的目錄生效如圖:表示只有客戶端192.168.1.100能訪問samba服務(wù)器如圖:表示只有客戶端192.168.1.100可以訪問public目錄(五)��、設(shè)置samba的權(quán)限案例:公司samba服務(wù)器上有個共享目錄sales��,公司規(guī)定只有boss賬號和sales
