สภาพแวดล้อมที่เราต้องการดำเนินการในวันนี้คือ หากบริษัทมีแผนกสามแผนก ได้แก่ การเงิน เทคโนโลยี และความเป็นผู้นำ เราจะสร้างกลุ่มผู้ใช้สามกลุ่มสำหรับสามแผนก ได้แก่ caiwu เครือข่าย และ lingdao;
มีผู้ใช้ 2 คนในแต่ละแผนกจากทั้งหมด 3 แผนก ผู้ใช้ที่เราสร้างขึ้นคือ caiwu01,caiwu02,network01,network02,lingdao01,lingdao02
จากนั้น เราจะสร้างไดเรกทอรีที่เกี่ยวข้องและสิทธิ์การเข้าถึงตามสถานการณ์เฉพาะของบริษัท ฉันหวังว่าคุณจะสามารถใช้สิทธิ์การรักษาความปลอดภัยของ Samba เพื่อตั้งค่าเซิร์ฟเวอร์ไฟล์ Samba ในการทำงานประจำวันของคุณได้อย่างยืดหยุ่น
1. ขั้นแรก เซิร์ฟเวอร์ใช้การรับรองความถูกต้องของผู้ใช้ ผู้ใช้แต่ละรายสามารถเข้าถึงไดเร็กทอรีโฮสต์ของตนเอง และมีเพียงผู้ใช้รายนี้เท่านั้นที่สามารถเข้าถึงไดเร็กทอรีโฮสต์และมีสิทธิ์เต็มรูปแบบ ในขณะที่ผู้อื่นไม่สามารถมองเห็นไดเร็กทอรีโฮสต์ของคุณได้
2. สร้างโฟลเดอร์ caiwu ฉันหวังว่าผู้คนในกลุ่ม caiwu และกลุ่ม lingdao จะสามารถเข้าถึงได้เช่นกัน แต่มีเพียง caiwu01 เท่านั้นที่มีสิทธิ์ในการเขียน
3. สร้างไดเร็กทอรีใน lindao เฉพาะคนในกลุ่มผู้นำเท่านั้นที่สามารถเข้าถึงและอ่านและเขียน Network02 ได้ แต่บุคคลภายนอกไม่สามารถมองเห็นไดเร็กทอรีนั้นได้
4. สร้างการแลกเปลี่ยนไดเร็กทอรีการแลกเปลี่ยนไฟล์ซึ่งทุกคนสามารถอ่านและเขียนได้ รวมถึงผู้ใช้ทั่วไป แต่ไม่มีใครสามารถลบไฟล์ของผู้อื่นได้
5. สร้างโฟลเดอร์สาธารณะแบบอ่านอย่างเดียว สาธารณะ และทุกคนสามารถอ่านได้เฉพาะเนื้อหาของโฟลเดอร์นี้เท่านั้น
เอาล่ะ มาทำงานเบื้องต้นกันก่อน
สร้าง 3 กลุ่ม:
#groupaddcaiwu
#groupเพิ่มเครือข่าย
#groupaddlingdao
เพิ่มผู้ใช้และเข้าร่วมกลุ่มที่เกี่ยวข้อง:
#useradd caiwu01 -g caiwu
#useradd caiwu02 -g caiwu
#useradd network01 -g เครือข่าย
#useradd network02 -g เครือข่าย
#useradd lingdao01 -g lingdao
#useradd lingdao02 -g lingdao
จากนั้นเราใช้คำสั่ง smbpasswd -a caiwu01 เพื่อเพิ่ม 6 บัญชีให้กับผู้ใช้แซมบ้าตามลำดับ
#mkdir /home/samba
#mkdir /home/samba/caiwu
#mkdir /home/samba/lingdao
#mkdir /home/samba/exchange
#mkdir /home/samba/public
เพื่อหลีกเลี่ยงปัญหา เราสามารถตั้งค่าการอนุญาตของโฟลเดอร์ข้างต้นทั้งหมดเป็น 777 ได้ เราใช้การจัดการสิทธิ์ที่ยืดหยุ่นของ samba เพื่อตั้งค่าข้อกำหนดห้าประการข้างต้น
ต่อไปนี้เป็นไฟล์กำหนดค่าของ smb.conf ของฉัน
[ทั่วโลก]
เวิร์กกรุ๊ป=bmit
#mynetworkworkinggroup
server string = เซิร์ฟเวอร์ไฟล์ Samba ของ Frank
#คำอธิบายชื่อเซิร์ฟเวอร์ของฉัน
ความปลอดภัย=ผู้ใช้
#ใช้กลไกการตรวจสอบสิทธิ์ผู้ใช้
เข้ารหัสรหัสผ่าน = ใช่
ไฟล์ smb passwd = /etc/samba/smbpasswd
#ใช้กลไกรหัสผ่านที่เข้ารหัส ใน win95 และ winnt จะใช้ข้อความธรรมดา
โดยทั่วไปคนอื่นๆ สามารถปฏิบัติตามการตั้งค่าเริ่มต้นได้
[ตัดหน้า]
[บ้าน]
ความคิดเห็น = โฮมไดเร็กทอรี
เรียกดูได้ = ไม่
เขียนได้ = ใช่
ผู้ใช้ที่ถูกต้อง = %S
สร้างโหมด = 0664
โหมดไดเรกทอรี = 0775
ส่วน #บ้าน ตรงตามเงื่อนไขแรก
[ไช่วู]
ความคิดเห็น=caiwu
เส้นทาง = /home/samba/caiwu
สาธารณะ=ไม่
ผู้ใช้ที่ถูกต้อง = @caiwu,@lingdao,network02
เขียนรายการ = caiwu01
พิมพ์ได้ = ไม่
ย่อหน้า #caiwu ตรงตามข้อกำหนดที่ 2 ของเรา
[หลิงเตา]
คอมเม้น=หลิงดาว
path = /home/samba/lingdao
สาธารณะ=ไม่
เรียกดูได้ = ไม่
ผู้ใช้ที่ถูกต้อง = @lingdao,network02
พิมพ์ได้ = ไม่
ย่อหน้า #lingdao สามารถตอบสนองข้อกำหนดที่สามของเราได้
[แลกเปลี่ยน]
ความคิดเห็น = แลกเปลี่ยนไดเร็กทอรีไฟล์
เส้นทาง = /home/samba/exchange
สาธารณะ=ใช่
เขียนได้ = ใช่
โดยพื้นฐานแล้ว #exchange สามารถเป็นไปตามข้อกำหนดที่สี่ของเราได้ แต่ไม่สามารถเป็นไปตามเงื่อนไขที่ว่าทุกคนไม่สามารถลบไฟล์ของผู้อื่นได้ แม้ว่าจะตั้งค่ามาสก์ไว้แล้วก็ตาม จริงๆ แล้วเงื่อนไขนี้ต้องใช้ Unix เท่านั้นในการตั้งค่า Sticky นิดหน่อย.
chmod -R 1777 /home/samba/exchange
โปรดทราบว่าการอนุญาตที่นี่คือ 1777 ไดเร็กทอรีระบบที่คล้ายกัน /tmp ก็มีสิทธิ์เหมือนกัน การอนุญาตนี้สามารถตระหนักถึงข้อกำหนดที่ทุกคนสามารถเขียนไฟล์ได้อย่างอิสระ แต่ไม่สามารถลบไฟล์ของผู้อื่นได้
[ตัดหน้า]
[สาธารณะ]
ความคิดเห็น = อ่านแบบสาธารณะเท่านั้น
เส้นทาง = /home/samba/public
สาธารณะ=ใช่
อ่านอย่างเดียว=ใช่
#ส่วนสาธารณะนี้สามารถตอบสนองข้อกำหนดที่ห้าของเราได้
จนถึงตอนนี้ การตั้งค่าของเราสามารถตอบสนองความต้องการไฟล์ที่แชร์ของเราได้แล้ว อย่าลืมรีสตาร์ทบริการ
#/etc/rc.d/init.d/smb รีสตาร์ท
หากคุณไม่มี winodws คุณอาจใช้คำสั่ง cilent-side ของ samba เพื่อทดสอบก่อน
ฉันจะยกตัวอย่างวิธีใช้คำสั่งเพียงไม่กี่ตัวอย่างเท่านั้น คุณสามารถลองใช้ได้หากต้องการทราบข้อมูลเพิ่มเติม
เซิร์ฟเวอร์ smbclient -L ip -N
บัญชีเกสต์สอบถามสถานะการแชร์ Samba ของเซิร์ฟเวอร์ของคุณ คุณสามารถตรวจสอบว่าบัญชีเกสต์สามารถเห็นไดเร็กทอรี lingdao ได้หรือไม่ แน่นอนว่าคุณสามารถดูได้ในชื่อผู้ใช้บางราย
เซิร์ฟเวอร์ smbclient -L ip -U caiwu01
ระบบจะถามรหัสผ่าน เพียงกรอกรหัสผ่าน smb
smbclient // เซิร์ฟเวอร์ ip/caiwu -U caiwu01
#เข้าสู่ระบบไดเร็กทอรี caiwu ในฐานะผู้ใช้ caiwu01
smbmount // เซิร์ฟเวอร์ ip/caiwu /mnt/caiwu -o ชื่อผู้ใช้=caiwu01
#แมปไดเร็กทอรีทางการเงินของเซิร์ฟเวอร์กับไดเร็กทอรี /mnt/caiwu ในเครื่อง
[ตัดหน้า][บ้าน]
ความคิดเห็น = โฮมไดเร็กทอรี
เรียกดูได้ = ไม่
เขียนได้ = ใช่
ผู้ใช้ที่ถูกต้อง = %S
สร้างโหมด = 0664
โหมดไดเรกทอรี = 0775
ส่วน #บ้าน ตรงตามเงื่อนไขแรก
[ไช่วู]
ความคิดเห็น=caiwu
เส้นทาง = /home/samba/caiwu
สาธารณะ=ไม่
ผู้ใช้ที่ถูกต้อง = @caiwu,@lingdao,network02
เขียนรายการ = caiwu01
พิมพ์ได้ = ไม่
ย่อหน้า #caiwu ตรงตามข้อกำหนดที่ 2 ของเรา
[หลิงเตา]
คอมเม้น=หลิงดาว
path = /home/samba/lingdao
สาธารณะ=ไม่
เรียกดูได้ = ไม่
ผู้ใช้ที่ถูกต้อง = @lingdao,network02
พิมพ์ได้ = ไม่
ย่อหน้า #lingdao สามารถตอบสนองข้อกำหนดที่สามของเราได้
[แลกเปลี่ยน]
ความคิดเห็น = แลกเปลี่ยนไดเร็กทอรีไฟล์
เส้นทาง = /home/samba/exchange
สาธารณะ=ใช่
เขียนได้ = ใช่
โดยพื้นฐานแล้ว #exchange สามารถเป็นไปตามข้อกำหนดที่สี่ของเราได้ แต่ไม่สามารถเป็นไปตามเงื่อนไขที่ว่าทุกคนไม่สามารถลบไฟล์ของผู้อื่นได้ แม้ว่าจะตั้งค่ามาสก์ไว้แล้วก็ตาม จริงๆ แล้วเงื่อนไขนี้ต้องใช้ Unix เท่านั้นในการตั้งค่า Sticky นิดหน่อย.
chmod -R 1777 /home/samba/exchange
โปรดทราบว่าการอนุญาตที่นี่คือ 1777 ไดเร็กทอรีระบบที่คล้ายกัน /tmp ก็มีสิทธิ์เหมือนกัน การอนุญาตนี้สามารถตระหนักถึงข้อกำหนดที่ทุกคนสามารถเขียนไฟล์ได้อย่างอิสระ แต่ไม่สามารถลบไฟล์ของผู้อื่นได้