Среда, которую мы хотим реализовать сегодня, заключается в том, что если в компании есть три отдела: финансовый, технологический и лидерский, мы создадим три группы пользователей для трех отделов: Цайу, Сетевой и Линдао;
В каждом из трех отделов есть по два пользователя. Мы создали пользователей: caiwu01, caiwu02, network01, network02, lingdao01, lingdao02.
Затем мы установим соответствующие каталоги и разрешения доступа в зависимости от конкретных обстоятельств компании. Я надеюсь, что с помощью следующих примеров вы сможете гибко применять разрешения безопасности Samba для настройки файлового сервера Samba в своей повседневной работе.
1. Во-первых, сервер использует аутентификацию пользователя. Каждый пользователь может получить доступ к своему собственному каталогу хоста, и только этот пользователь может получить доступ к каталогу хоста и имеет полные разрешения, в то время как другие не могут видеть ваш каталог хоста.
2. Создайте папку caiwu. Я надеюсь, что люди из группы caiwu и группы lingdao смогут ее видеть. Network02 также сможет получить к ней доступ, но только caiwu01 имеет разрешение на запись.
3. Создайте каталог в Линдао. Доступ к нему, чтение и запись могут иметь только люди из группы Network02, но посторонние не смогут видеть этот каталог.
4. Создайте каталог обмена файлами, который сможет читать и писать каждый, включая гостя, но никто не сможет удалять чужие файлы.
5. Создайте общедоступную папку public, доступную только для чтения, и каждый сможет только читать содержимое этой папки.
Хорошо, давайте сначала проведем предварительную работу.
Создайте 3 группы:
#groupadd цайу
#groupadd сеть
#groupaddlingdao
Добавляйте пользователей и присоединяйтесь к соответствующим группам:
#useradd caiwu01 -g caiwu
#useradd caiwu02 -g caiwu
#useradd network01 -g сеть
#useradd network02 -g сеть
#useradd lingdao01 -g lingdao
#useradd lingdao02 -g lingdao
Затем мы используем команду smbpasswd -a caiwu01, чтобы добавить 6 учетных записей пользователю Samba соответственно.
#mkdir /home/samba
#mkdir /home/samba/caiwu
#mkdir /home/samba/lingdao
#mkdir /home/samba/exchange
#mkdir /home/samba/public
Чтобы избежать проблем, мы можем установить разрешения для всех вышеперечисленных папок на 777. Мы используем гибкое управление разрешениями Samba для установки пяти вышеуказанных требований.
Ниже приведен файл конфигурации моего smb.conf.
[глобальный]
рабочая группа = bmit
#mynetworkworkinggroup
строка сервера = файловый сервер Samba Фрэнка
#Описание имени моего сервера
безопасность=пользователь
#Использовать механизм аутентификации пользователя
шифровать пароли = да
файл паролей smb = /etc/samba/smbpasswd
#Используйте механизм зашифрованного пароля. В Win95 и Winnt используется простой текст.
Другие могут в основном следовать настройкам по умолчанию.
[Вырезанная страница]
[дома]
комментарий = Домашние каталоги
возможность просмотра = нет
записываемый = да
действительные пользователи = %S
режим создания = 0664
режим каталога = 0775
Сегмент #дома соответствует первому условию
[цайу]
комментарий = Цайу
путь = /home/samba/caiwu
публичный = нет
действительные пользователи = @caiwu,@lingdao,network02
список записи = caiwu01
для печати = нет
Параграф #caiwu соответствует нашему второму требованию.
[линдао]
комментарий = Линдао
путь = /home/samba/lingdao
публичный = нет
возможность просмотра = нет
действительные пользователи = @lingdao,network02
для печати = нет
Абзац #lingdao может соответствовать нашему третьему требованию.
[обмен]
комментарий = Каталог файлов Exchange
путь = /home/samba/exchange
публичный = да
записываемый = да
Сегмент #exchange в принципе может соответствовать нашему четвертому требованию, но он не может соответствовать условию, согласно которому каждый не может удалять чужие файлы. Даже если в нем установлена маска, это бесполезно. Фактически, это условие требует от Unix только установки прилепления. кусочек.
chmod -R 1777 /home/samba/exchange
Обратите внимание, что разрешение здесь — 1777. Аналогичный системный каталог /tmp также имеет такое же разрешение. Это разрешение может реализовать требование о том, что каждый может свободно записывать файлы, но не может удалять файлы других людей.
[Вырезанная страница]
[публичный]
комментарий = Публичный только для чтения
путь = /home/samba/public
публичный = да
только для чтения = да
#Этот публичный сегмент может удовлетворить наше пятое требование.
На данный момент наши настройки соответствуют требованиям к общим файлам. Не забудьте перезапустить службу.
#/etc/rc.d/init.d/smb перезапуск
Если у вас нет windowsws, вы можете также использовать команду cilent-side samba, чтобы сначала протестировать ее.
Я приведу лишь несколько примеров использования этой команды. Вы можете попробовать, если хотите узнать о ней больше.
smbclient -L IP-адрес сервера -N
Гостевая учетная запись запрашивает статус общего ресурса Samba вашего сервера. Вы можете проверить, виден ли каталог lingdao для гостевой учетной записи. Конечно, вы также можете просмотреть его от имени определенного пользователя.
smbclient -L IP-адрес сервера -U caiwu01
Система запросит пароль, просто введите пароль smb.
smbclient //IP-адрес сервера/caiwu -U caiwu01
#Войдите в каталог caiwu как пользователь caiwu01
smbmount //IP-адрес сервера/caiwu /mnt/caiwu -o имя пользователя=caiwu01
#Сопоставьте финансовый каталог сервера с локальным каталогом /mnt/caiwu.
[Вырезанная страница][дома]
комментарий = Домашние каталоги
возможность просмотра = нет
записываемый = да
действительные пользователи = %S
режим создания = 0664
режим каталога = 0775
Сегмент #дома соответствует первому условию
[цайу]
комментарий = Цайу
путь = /home/samba/caiwu
публичный = нет
действительные пользователи = @caiwu,@lingdao,network02
список записи = caiwu01
для печати = нет
Параграф #caiwu соответствует нашему второму требованию.
[линдао]
комментарий = Линдао
путь = /home/samba/lingdao
публичный = нет
возможность просмотра = нет
действительные пользователи = @lingdao,network02
для печати = нет
Абзац #lingdao может соответствовать нашему третьему требованию.
[обмен]
комментарий = Каталог файлов Exchange
путь = /home/samba/exchange
публичный = да
записываемый = да
Сегмент #exchange в принципе может соответствовать нашему четвертому требованию, но он не может соответствовать условию, согласно которому каждый не может удалять чужие файлы. Даже если в нем установлена маска, это бесполезно. Фактически, это условие требует от Unix только установки прилепления. кусочек.
chmod -R 1777 /home/samba/exchange
Обратите внимание, что разрешение здесь — 1777. Аналогичный системный каталог /tmp также имеет такое же разрешение. Это разрешение может реализовать требование о том, что каждый может свободно записывать файлы, но не может удалять файлы других людей.