異構環境檔案伺服器配置

異構環境檔案伺服器配置

    要求：samba檔案伺服器的通路要通過身份認證，而認證工作由 windows2003的域控制器完成。

使用者隻需一次輸入密碼，即可通路網絡中的所有資源。

企業環境：企業已使用windows2003的活動目錄進行管理，現在該企業需要一台檔案伺服器，供企業内部員工友善的實用共享檔案，和共享網絡列印機。網絡拓撲圖如下，現有企業的域控制器的名稱為dc1.a.com

所有用戶端都加入域中。其中設計部的計算機位于192.168.0.0/24網段，市場部計算機位于192.168.1.0/24網段，财務部位于192.168.2.0/24網段。檔案伺服器使用RHEL5，ip位址192.168.1.2/24,FQDN:file.a.com。将

/dev/sda10 挂載到/share 下作為共享分區使用。企業對檔案伺服器的要求如下：

     1.所有使用者通路samba伺服器不需要二次認證。

     2.需要一個存放内部資料的目錄，所有使用者隻讀其中的内容。

     3.每個部門有一個需要存放資料的目錄，隻允許該部門的員工可見、可讀、可寫，其内容除了上傳檔案的使用者及管理者外其他使用者不能删除。

案例實施：

    1.在file.a.com上安裝samba服務，Kerberos服務。

    2.在file.a.com 上配置/dev/sda10挂載參數，讓該分區支援acl和磁盤配額。

      vi /etc/fstab   修改如下

      /dev/sda10  /share   ext3   defaults,acl,usrquota,grpquota  0  0

mount –o remount /share

    3.在file.a.com上建立共享檔案。

mkdir /share/design          //設計部專用  設計部讀寫，其他隻讀

mkdir /share/design/public    //設計部公用，設計部讀寫，使用者屬主和管理者可删除

mkdir /share/office          //公用         全部隻讀

mkdir /share/market          //市場部專用   市場部讀寫，其他隻讀

mkdir /share/market/public     //市場部專用   市場部讀寫,使用者屬主和管理者可删除

mkdri /share/finance    //财務部專用   财務部讀寫，不能删除，隻有财務經理可删除，其他人不可見

      mkdir /share/share      //個人檔案夾   在此目錄下為每個員工建立同名目錄

      chmod o+t /share/market/public      //通過Sticky 實作每個部門公共目錄的屬主和管理者可删除其他

      chmod o+t /share/design/public        人不可删

    4.使用如下指令修改selinux的狀态：

setsebool –P samba_domain_controller  on

setsebool –P samba_enable_home_dirs on

setsebool –P samba_export_all_rw  on

setsebool –P smbd_disable_trans=1

chcon –R –t samba_share_t /share

chcon –R –t samba_share_t /bin/mount

chcon –R –t samba_share_t /bin/umount

5.windows域控制器上建立相應的使用者群組，以及ou，修改使用者的主要組，改為建立的本部門組。

     6.修改/etc/krb5.conf , /etc/nsswitch.conf ,  /etc/samba/smb.conf , /etc/pam.d/system_auth配置檔案。

vi  /etc/samba/smb.conf

[global]

fstype = Samba FileSystem   //用戶端映射驅動器後，顯示為samba filesystem 檔案系統

hosts deny = ALL    //拒絕所有用戶端的通路

hosts allow = 192.168.0.  192.168.1.  192.168.2.  //隻允許這三個網段的計算機通路。

veto files = /*.exe /*.com /*.bat /*.vbs /*.inf /  //不允許存放這種類型的檔案

delete veto files = yes   如果存入指定類型的檔案，強制删除。（主要防止病毒傳播）

admin user = administrator     //全局共享管理者

// crete mask = 444     //建立檔案的權限。

use  sendfile = yes   //可以提高samba伺服器的工作效率。

max connection = 100  //最大用戶端連接配接數量。

dos charset=GB2312

unix charset=GB2312 加上這二句就可以正确顯示中文了

[design]

comment = design user can write   //描述

path = /share/design              //共享的本地目錄

valid users = @A/design @A/finance @A/market   //授權通路的使用者或組

public = no                   //不允許匿名通路

read only = yes               //所有使用者隻讀

write list = @A/design           //隻有design組可寫入

group = @A/design               //使用者通路時建立的目錄或檔案屬組為design

create mask = 0664               //使用者建立檔案的預設權限

directory mask =  0775          // 使用者建立目錄的預設權限

上面的為可用選項執行個體

下面為具體配置

        comment = design user can wrinte

        path = /share/design

        valid users = @A/design, @A/finance, @A/market

        write list = @A/design

        force group = @A/design

        create mask = 0664   

[finance]

        comment = finance user can write

        path = /share/finance

        valid users = @A/finance, @A/market, @A/design

        write list = @A/finance

        force group = @A/finance

        create mask = 0664

[market]

        comment = market user can wrinte

        path = /share/market

        write list = @A/market

        force group = @A/market

Linux系統目錄的設定：

[root@localhost share]# pwd

/share

[root@localhost share]# ll

total 12

drwxrwxrw- 3 design1  design  4096 Sep 12 22:47 design

drwxrwxrw- 2 finance1 finance 4096 Sep 12 22:28 finance

drwxrwxrw- 3 market1  market  4096 Sep 12 22:43 market

[root@localhost share]#

注意應該是：chown A/design1:A/design design  

            chmod 776 design -R  或者   chmod 770 design -R

samba的全局配置：請看前文《samba與AD的整合》

此文檔由  秘飛虎 （qq：815889476 mail：[email protected]） 花了很長時間，查了好多資料才完成的，如果轉載，請保留作者，及聯系方式。

本文轉自秘飛虎51CTO部落格，原文連結： http://blog.51cto.com/mifeihu/400228，如需轉載請自行聯系原作者