根據(jù)Windows網(wǎng)絡(luò)設(shè)置Samba

使用SMB協(xié)議實(shí)現(xiàn)的網(wǎng)絡(luò)的情況非常不同，有的網(wǎng)絡(luò)僅僅由幾臺(tái)Windows計(jì)算機(jī)組成，只需要提供計(jì)算機(jī)之間最簡(jiǎn)單的資源共享，并不需要一個(gè)中心控制點(diǎn) ── 文件服務(wù)器提供服務(wù)，而有的網(wǎng)絡(luò)由多個(gè)物理網(wǎng)絡(luò)通過(guò)路由器連接而成，網(wǎng)絡(luò)中擁有多種文件/打印服務(wù)器，網(wǎng)絡(luò)中的操作系統(tǒng)也各不相同，包括Windows和Unix。

Samba服務(wù)器能適應(yīng)這些不同要求的網(wǎng)絡(luò)的不同要求，然而由于網(wǎng)絡(luò)的需要各不相同，因此對(duì)Samba的設(shè)置也不相同。如何根據(jù)需要來(lái)規(guī)劃網(wǎng)絡(luò)、設(shè)置Samba是一個(gè)靈活但復(fù)雜的問(wèn)題，同時(shí)存在各種各樣的設(shè)置方式都能滿(mǎn)足用戶(hù)的需要，這里給出的只是一種可行性建議。

小型網(wǎng)絡(luò)，無(wú)NT服務(wù)器

這種網(wǎng)絡(luò)的特征是網(wǎng)絡(luò)資源的使用程度不大，通常所有的計(jì)算機(jī)都位于一個(gè)局域網(wǎng)內(nèi)，幾乎沒(méi)有專(zhuān)用文件/打印服務(wù)器。所有的計(jì)算機(jī)均使用工作組方式相互訪問(wèn)。此時(shí)使用Samba服務(wù)器的目的是為了更好的利用網(wǎng)絡(luò)資源，提供方便的文件/打印服務(wù)。

在這樣的網(wǎng)絡(luò)中，僅僅需要最簡(jiǎn)單的文件/打印共享服務(wù)。雖然共享級(jí)認(rèn)證方式能夠滿(mǎn)足此時(shí)的需要，但是最好使用用戶(hù)級(jí)認(rèn)證方式，因?yàn)橹挥羞@樣才能充分發(fā)揮服務(wù)器提供服務(wù)的優(yōu)勢(shì)。需要為每個(gè)使用者在FreeBSD服務(wù)器上分別建立帳戶(hù)，這樣缺省設(shè)置就自動(dòng)為用戶(hù)共享其個(gè)人目錄，用做私人數(shù)據(jù)的保存。為了網(wǎng)絡(luò)用戶(hù)之間的相互交換數(shù)據(jù)，可以設(shè)定一個(gè)公用共享目錄，例如上面例子中的[public]共享目錄。

由于Samba服務(wù)器具有優(yōu)秀性能，最好將Samba服務(wù)器設(shè)置為本地的Browser，僅需要設(shè)置localmaster參數(shù)，并給os leverl一個(gè)較大的值就能達(dá)到目的。可以不使用nmbd的名字解析能力用做名字服務(wù)器，因?yàn)榇藭r(shí)都在一個(gè)物理網(wǎng)絡(luò)內(nèi)，b-node廣播方式能夠提供正確的解析。

當(dāng)為Windows 98或者Windows NT SP3提供認(rèn)證的時(shí)候，它們將使用加密過(guò)的口令進(jìn)行認(rèn)證，這能提供更大的網(wǎng)絡(luò)安全性。Samba服務(wù)器也能提供這種認(rèn)證，然而對(duì)于這樣的小型網(wǎng)絡(luò)，使用原有的非加密口令認(rèn)證方式就足夠了，因?yàn)榭诹畈粫?huì)跨越網(wǎng)絡(luò)傳輸，安全問(wèn)題限制于本地網(wǎng)絡(luò)內(nèi)部。在Samba的文檔中，提供了將Windows98或Windows NT SP3設(shè)置為原有認(rèn)證方式的注冊(cè)表信息，分別為/usr/local/share/examples/samba目錄下的Win95_PlainPassWord.reg和NT4_PlainPasswor.reg文件。

小型網(wǎng)絡(luò)，與NT服務(wù)器相互協(xié)作

這種網(wǎng)絡(luò)中存在一個(gè)或幾個(gè)Windows NT服務(wù)器，因此網(wǎng)絡(luò)中的關(guān)鍵問(wèn)題是認(rèn)證的策略問(wèn)題。有的網(wǎng)絡(luò)中使用分散式的認(rèn)證策略，即各個(gè)服務(wù)器各自認(rèn)證使用自己資源的客戶(hù)，適合網(wǎng)絡(luò)上服務(wù)器屬于不同管理者的情況，另一種情況是希望在訪問(wèn)多個(gè)服務(wù)器時(shí)使用一致的認(rèn)證，無(wú)論是在NT服務(wù)器還是在Samba服務(wù)器，對(duì)于同一個(gè)用戶(hù)只需要使用一個(gè)口令就能使用網(wǎng)絡(luò)資源。

當(dāng)使用分散認(rèn)證策略的時(shí)候，Samba服務(wù)器可以使用缺省設(shè)置security=user，當(dāng)要求Samba服務(wù)器和NT服務(wù)器認(rèn)證同樣的用戶(hù)的時(shí)候，可以使用security=server，讓NT服務(wù)器來(lái)認(rèn)證用戶(hù)，此時(shí)還需要設(shè)置password server的名字，以設(shè)置提供認(rèn)證的NT服務(wù)器的名字。

由于是使用NT服務(wù)器對(duì)用戶(hù)進(jìn)行認(rèn)證，然而NT上的用戶(hù)與FreeBSD用戶(hù)的名字可能不同，為了將NT用戶(hù)重新映射到FreeBSD上的Samba用戶(hù)，就需要進(jìn)行用戶(hù)名的映射。這需要使用username map參數(shù)，這個(gè)參數(shù)設(shè)置一個(gè)用于用戶(hù)名映射的文件名，在這個(gè)指定的文件中，可以設(shè)置FreeBSD用戶(hù)（或用戶(hù)組）等價(jià)于哪個(gè)NT用戶(hù)（或用戶(hù)組）。

具備多個(gè)物理網(wǎng)段的網(wǎng)絡(luò)

如果用戶(hù)的網(wǎng)絡(luò)跨越了多個(gè)物理網(wǎng)絡(luò)，為了實(shí)現(xiàn)瀏覽，最重要的問(wèn)題就是設(shè)置使用名字服務(wù)器進(jìn)行名字解析。此時(shí)可以選擇使用Samba的nmbd作為名字服務(wù)器，也可以使用Windows NT的WINS服務(wù)器作為名字服務(wù)器。

但如果計(jì)劃在網(wǎng)絡(luò)上使用多個(gè)NetBIOS服務(wù)器，以提供相互備份的能力，就只能使用多個(gè)Windows NT來(lái)運(yùn)行WINS，WINS的一項(xiàng)功能是具備相互復(fù)制的能力，而nmbd不能和其他WINS服務(wù)器相互復(fù)制數(shù)據(jù)。WINS使用這個(gè)功能主要是用于克服系統(tǒng)操作本身的故障，以提高可靠性。對(duì)于一般的網(wǎng)絡(luò)，使用一個(gè)名字服務(wù)器，尤其是運(yùn)行在高穩(wěn)定性的FreeBSD系統(tǒng)之上的Samba，可靠性就能滿(mǎn)足網(wǎng)絡(luò)的需要。當(dāng)然偶然發(fā)生的物理故障是無(wú)法避免的，這樣將使用分布在不同地點(diǎn)的多個(gè)服務(wù)器會(huì)有一定的幫助。

當(dāng)選擇好了名字服務(wù)器的設(shè)置策略，就可以決定Samba是用作名字服務(wù)器，還是普通的使用名字服務(wù)器的客戶(hù)機(jī)。Samba可以同時(shí)設(shè)置為名字服務(wù)器和客戶(hù)，這并不沖突。還可以設(shè)置Samba為wins proxy和dns proxy，為不能使用wins和dns進(jìn)行名字解析的NetBIOS客戶(hù)提供b-node方式的代理解析。

當(dāng)網(wǎng)絡(luò)使用的是分散式的工作組方式的時(shí)候，要實(shí)現(xiàn)跨越子網(wǎng)的瀏覽，Samba服務(wù)器就擔(dān)任了重要的角色。因?yàn)椴淮嬖谟蚩刂破鳎藭r(shí)Samba要設(shè)置成為Domain master Browser，以提供不同子網(wǎng)間的Localmaster Browser相互交換瀏覽信息。

如果遠(yuǎn)程網(wǎng)絡(luò)中的計(jì)算機(jī)不使用本地的Samba作名字服務(wù)器，該網(wǎng)絡(luò)中的Domain master Browser也不與本地網(wǎng)絡(luò)的Local Master Browser交換信息，那么那個(gè)網(wǎng)絡(luò)上的Brower就無(wú)法了解本地上的資源列表。作為本地Browser的Samba服務(wù)器能使用一種折衷的方法來(lái)通知遠(yuǎn)程網(wǎng)絡(luò)上的Browser，告訴它本地網(wǎng)絡(luò)提供的資源服務(wù)，這就稱(chēng)為remote announce，并能用于遠(yuǎn)程網(wǎng)絡(luò)中的瀏覽信息與本地網(wǎng)絡(luò)同步。為了使用remote announce，需要設(shè)置remote announce和remote browse sync參數(shù)，使用的設(shè)置值為遠(yuǎn)程網(wǎng)絡(luò)的廣播地址，如192.168.1.255，可以同時(shí)設(shè)置多個(gè)地址，以同步多個(gè)遠(yuǎn)程Browser。

如果網(wǎng)絡(luò)中使用NT域認(rèn)證方式，就不要讓Samba和域控制器爭(zhēng)奪Domain master Browser的權(quán)利，Samba還不能設(shè)置為PDC為整個(gè)域服務(wù)。因此需要設(shè)置domain master=no，但可以讓Samba服務(wù)器在沒(méi)有PDC的子網(wǎng)中擔(dān)當(dāng)Local master Browser的任務(wù)，即設(shè)置local master=yes。

當(dāng)前NT服務(wù)器使用SAM數(shù)據(jù)庫(kù)用于保存認(rèn)證信息，但是下一代NT服務(wù)器將轉(zhuǎn)向kerberos認(rèn)證方式，這種認(rèn)證方式本來(lái)就是在Unix上開(kāi)發(fā)的，更有利于與Samba軟件集成在一起。

此時(shí)也可以使用NT的域控制器提供認(rèn)證（設(shè)置security=server，并將password server設(shè)置為PDC或BDC），以使得Samba服務(wù)器能承認(rèn)域控制器認(rèn)證過(guò)的用戶(hù)。這樣客戶(hù)技術(shù)就可以使用加密認(rèn)證方式，因?yàn)镾amba服務(wù)器不進(jìn)行認(rèn)證，僅僅是把認(rèn)證信息轉(zhuǎn)發(fā)給相應(yīng)的NT服務(wù)器進(jìn)行認(rèn)證。

支持加密口令認(rèn)證

前面提到過(guò)為了適應(yīng)Windows 98和Windows NT 4.0 SP3之后的客戶(hù)使用加密過(guò)的口令認(rèn)證方式，可以將客戶(hù)計(jì)算機(jī)再次設(shè)回使用普通口令認(rèn)證方式來(lái)解決認(rèn)證問(wèn)題，然而當(dāng)客戶(hù)可能跨越子網(wǎng)進(jìn)行認(rèn)證的時(shí)候，就應(yīng)該使用加密認(rèn)證，以防止口令明文跨越子網(wǎng)傳輸，提供更高的安全性。

為了支持加密口令認(rèn)證，就需要使用獨(dú)立于FreeBSD系統(tǒng)口令文件之外的認(rèn)證系統(tǒng)，需要在smb.conf中的[globals]中增加設(shè)置為：

encrypt passwords = yes null passwords = yes smbpasswd file = /usr/local/private/smbpasswd

然后使用命令smbpasswd -a user，將用戶(hù)user及其口令加入指定的口令文件smbpasswd文件中，這樣在進(jìn)行認(rèn)證時(shí)，就能通過(guò)這個(gè)smbpasswd文件中的設(shè)置，通過(guò)口令的加密認(rèn)證方式進(jìn)行認(rèn)證了。然而此時(shí)將繞過(guò)系統(tǒng)標(biāo)準(zhǔn)認(rèn)證過(guò)程，原有的用戶(hù)數(shù)據(jù)必須重新一個(gè)一個(gè)加入smbpasswd文件中才能完成認(rèn)證，沒(méi)有添加到這個(gè)文件中的用戶(hù)就無(wú)法完成認(rèn)證以使用系統(tǒng)資源。其中null passwords的設(shè)置不是必須的，只是WindowsNT中一般許可用戶(hù)使用空口令，這項(xiàng)設(shè)置用來(lái)與Windows NT的設(shè)置保持一致。加密口令文件smbpasswd在FreeBSD系統(tǒng)下缺省位于/usr/local/private目錄中。

Samba手冊(cè)中使用的目錄可能會(huì)與FreeBSD中的具體目錄不一致，這是因?yàn)槭褂肞ackages Collection或Ports Collection安裝的Samba，其軟件的安裝目錄均按照FreeBSD的習(xí)慣做了調(diào)整，因此會(huì)與Samba手冊(cè)提到的位置不太相同。

此時(shí)，使用SWAT的PASSWORD設(shè)置選項(xiàng)可以直接將一個(gè)用戶(hù)加入口令數(shù)據(jù)庫(kù)，并打開(kāi)訪問(wèn)這個(gè)用戶(hù)的許可，對(duì)于加密口令的管理更為簡(jiǎn)便。因此應(yīng)該使用SWAT來(lái)管理加密口令數(shù)據(jù)文件，而不必直接使用smbpasswd命令。

將Samba服務(wù)器加入域

使用域代替工作組的好處是，所有的客戶(hù)能使用同一個(gè)認(rèn)證來(lái)訪問(wèn)所有的資源。雖然域的概念還是一種非常初級(jí)的目錄服務(wù)的概念，但由于Microsoft網(wǎng)絡(luò)的流行，它的重要性也非常之大。

在一個(gè)以域?yàn)檎J(rèn)證方式的網(wǎng)絡(luò)中，可以將Samba加入域中去，以采用與域一致的認(rèn)證和管理方式。在一個(gè)域中的SMB計(jì)算機(jī)有各種形式，一種為提供認(rèn)證服務(wù)的域控制器，分為PDC（Primary Domain Controller）和BDC（Backup Domain Controller），另一種為不提供認(rèn)證服務(wù)的成員服務(wù)器，還有就是普通客戶(hù)機(jī)。Samba當(dāng)前能作為普通成員服務(wù)器加入域。

為了將Samba加入域，首先要為Samba服務(wù)器在PDC服務(wù)器中創(chuàng)建一個(gè)帳戶(hù)，這個(gè)操作就如同為普通NT成員服務(wù)器創(chuàng)建用戶(hù)一樣，通過(guò)NT服務(wù)器的Server Manager for Domain來(lái)完成。

加入NT域的時(shí)候首先需要停止Samba服務(wù)器的正常工作，使用smbpasswd將這個(gè)Samba服務(wù)器登記進(jìn)域，這需要使用：

# smbpasswd -j DOMAINNAME -r SAMBASRV

其中DOMAINNAME為域的名字，SAMBASRV為前面PDC上為Samba服務(wù)器創(chuàng)建的帳戶(hù)名，這樣Samba服務(wù)器就加入了域。然后需要更改smb.conf的設(shè)置：

security = domain workgroup = DOMAINNAME password server = PDC_name BDC1 BDC2

password server設(shè)置為這個(gè)域內(nèi)的PDC和BDC的名字。此后，再次啟動(dòng)Samba服務(wù)器，則服務(wù)器就為這個(gè)域的一個(gè)成員服務(wù)器了。

雖然使用域認(rèn)證方式和服務(wù)器認(rèn)證方式都能讓同樣的用戶(hù)訪問(wèn)Samba服務(wù)器上的資源，然而對(duì)于認(rèn)證細(xì)節(jié)是不同的，使用域認(rèn)證方式能利用域提供的更安全的認(rèn)證通道。

設(shè)置lmhosts

在Miscrosfot擴(kuò)展的NetBIOS協(xié)議中，可以使用查詢(xún)?cè)O(shè)置文件的方法來(lái)進(jìn)行名字解析，這個(gè)靜態(tài)文件為lmhosts。在Windows下的這個(gè)文件位于系統(tǒng)目錄中，Samba將其放在與smb.conf相同的目錄下，F(xiàn)reeBSD系統(tǒng)中為/usr/local/etc中。

# Sample Samba lmhosts file. 192.168.1.24 WIN95 192.168.1.21 NTSRV#20 192.168.1.121 FBSDSRV #PRE

lmhosts的文件格式與/etc/hosts文件非常類(lèi)似，也是IP地址/主機(jī)名字對(duì)，除了這個(gè)文件中使用的名字是NetBIOS名字。此外NetBIOS名字有一個(gè)定義屬性類(lèi)別的字節(jié)（NetBIOS中的第16個(gè)字節(jié)），這個(gè)屬性字節(jié)可以在lmhosts中直接設(shè)置，以回應(yīng)特定類(lèi)別的請(qǐng)求，不設(shè)置這個(gè)屬性，就對(duì)應(yīng)所有類(lèi)別。例如上例中的第二項(xiàng)定義的NTSRV，就明確指定了其屬性為16進(jìn)制的0x20。

此外，lmhosts也支持一些特殊的語(yǔ)法，例如用在一個(gè)設(shè)置項(xiàng)之后的#PRE選項(xiàng)將使得這項(xiàng)設(shè)置在啟動(dòng)Samba時(shí)自動(dòng)載入系統(tǒng)緩沖區(qū)中，使得能最先識(shí)別。標(biāo)準(zhǔn)情況下的lmhosts文件在名字解析查詢(xún)順序的后部，在經(jīng)過(guò)wins和b-node廣播之后才會(huì)檢查lmhosts設(shè)置，而#PRE選項(xiàng)設(shè)置的名字就會(huì)在此之前進(jìn)行解析。

一般情況下不必設(shè)置這個(gè)文件，因?yàn)槭褂闷渌椒ㄟM(jìn)行名字查詢(xún)就足夠了，這種方法用于輔助解析的，例如在跨越子網(wǎng)進(jìn)行瀏覽，但wins服務(wù)器不能提供訪問(wèn)時(shí)的一個(gè)備份措施。其中的#PRE方式也能在系統(tǒng)啟動(dòng)時(shí)的進(jìn)行一些初始名字解析設(shè)置。

未完，待續(xù)。。。