异构环境文件服务器配置
要求:samba文件服务器的访问要通过身份认证,而认证工作由 windows2003的域控制器完成。
用户只需一次输入密码,即可访问网络中的所有资源。
企业环境:企业已使用windows2003的活动目录进行管理,现在该企业需要一台文件服务器,供企业内部员工方便的实用共享文件,和共享网络打印机。网络拓扑图如下,现有企业的域控制器的名称为dc1.a.com
所有客户端都加入域中。其中设计部的计算机位于192.168.0.0/24网段,市场部计算机位于192.168.1.0/24网段,财务部位于192.168.2.0/24网段。文件服务器使用RHEL5,ip地址192.168.1.2/24,FQDN:file.a.com。将
/dev/sda10 挂载到/share 下作为共享分区使用。企业对文件服务器的要求如下:
1.所有用户访问samba服务器不需要二次认证。
2.需要一个存放内部资料的目录,所有用户只读其中的内容。
3.每个部门有一个需要存放资料的目录,只允许该部门的员工可见、可读、可写,其内容除了上传文件的用户及管理员外其他用户不能删除。
4.每位员工有一个自己的目录,
除自己可读可写外,只有部门经理可读。
除自己可读可写外,只有部门经理可读。
案例实施:
1.在file.a.com上安装samba服务,Kerberos服务。
2.在file.a.com 上配置/dev/sda10挂载参数,让该分区支持acl和磁盘配额。
vi /etc/fstab 修改如下
/dev/sda10 /share ext3 defaults,acl,usrquota,grpquota 0 0
mount –o remount /share
3.在file.a.com上建立共享文件。
mkdir /share/design //设计部专用 设计部读写,其他只读
mkdir /share/design/public //设计部公用,设计部读写,用户属主和管理员可删除
mkdir /share/office //公用 全部只读
mkdir /share/market //市场部专用 市场部读写,其他只读
mkdir /share/market/public //市场部专用 市场部读写,用户属主和管理员可删除
mkdri /share/finance //财务部专用 财务部读写,不能删除,只有财务经理可删除,其他人不可见
mkdir /share/share //个人文件夹 在此目录下为每个员工建立同名目录
chmod o+t /share/market/public //通过Sticky 实现每个部门公共目录的属主和管理员可删除其他
chmod o+t /share/design/public 人不可删
4.使用如下命令修改selinux的状态:
setsebool –P samba_domain_controller on
setsebool –P samba_enable_home_dirs on
setsebool –P samba_export_all_rw on
setsebool –P smbd_disable_trans=1
chcon –R –t samba_share_t /share
chcon –R –t samba_share_t /bin/mount
chcon –R –t samba_share_t /bin/umount
5.windows域控制器上建立相应的用户和组,以及ou,修改用户的主要组,改为建立的本部门组。
6.修改/etc/krb5.conf , /etc/nsswitch.conf , /etc/samba/smb.conf , /etc/pam.d/system_auth配置文件。
vi /etc/samba/smb.conf
[global]
fstype = Samba FileSystem //客户端映射驱动器后,显示为samba filesystem 文件系统
hosts deny = ALL //拒绝所有客户端的访问
hosts allow = 192.168.0. 192.168.1. 192.168.2. //只允许这三个网段的计算机访问。
veto files = /*.exe /*.com /*.bat /*.vbs /*.inf / //不允许存放这种类型的文件
delete veto files = yes 如果存入指定类型的文件,强制删除。(主要防止病毒传播)
admin user = administrator //全局共享管理员
// crete mask = 444 //创建文件的权限。
use sendfile = yes //可以提高samba服务器的工作效率。
max connection = 100 //最大客户端连接数量。
dos charset=GB2312
unix charset=GB2312 加上这二句就可以正确显示中文了
[design]
comment = design user can write //描述
path = /share/design //共享的本地目录
valid users = @A/design @A/finance @A/market //授权访问的用户或组
public = no //不允许匿名访问
read only = yes //所有用户只读
write list = @A/design //只有design组可写入
group = @A/design //用户访问时建立的目录或文件属组为design
create mask = 0664 //用户建立文件的默认权限
directory mask = 0775 // 用户建立目录的默认权限
上面的为可用选项实例
下面为具体配置
[design]
comment = design user can wrinte
path = /share/design
valid users = @A/design, @A/finance, @A/market
write list = @A/design
force group = @A/design
create mask = 0664
[finance]
comment = finance user can write
path = /share/finance
valid users = @A/finance, @A/market, @A/design
write list = @A/finance
force group = @A/finance
create mask = 0664
[market]
comment = market user can wrinte
path = /share/market
valid users = @A/finance, @A/market, @A/design
write list = @A/market
force group = @A/market
create mask = 0664
Linux系统目录的设置:
[root@localhost share]# pwd
/share
[root@localhost share]# ll
total 12
drwxrwxrw- 3 design1 design 4096 Sep 12 22:47 design
drwxrwxrw- 2 finance1 finance 4096 Sep 12 22:28 finance
drwxrwxrw- 3 market1 market 4096 Sep 12 22:43 market
[root@localhost share]#
注意应该是:chown A/design1:A/design design
chmod 776 design -R 或者 chmod 770 design -R
samba的全局配置:请看前文《samba与AD的整合》
此文档由 秘飞虎 (qq:815889476 mail:mifeihu@163.com) 花了很长时间,查了好多资料才完成的,如果转载,请保留作者,及联系方式。
本文转自秘飞虎51CTO博客,原文链接: http://blog.51cto.com/mifeihu/400228
,如需转载请自行联系原作者
