异构环境文件服务器配置

异构环境文件服务器配置

    要求：samba文件服务器的访问要通过身份认证，而认证工作由 windows2003的域控制器完成。

用户只需一次输入密码，即可访问网络中的所有资源。

企业环境：企业已使用windows2003的活动目录进行管理，现在该企业需要一台文件服务器，供企业内部员工方便的实用共享文件，和共享网络打印机。网络拓扑图如下，现有企业的域控制器的名称为dc1.a.com

所有客户端都加入域中。其中设计部的计算机位于192.168.0.0/24网段，市场部计算机位于192.168.1.0/24网段，财务部位于192.168.2.0/24网段。文件服务器使用RHEL5，ip地址192.168.1.2/24,FQDN:file.a.com。将

/dev/sda10 挂载到/share 下作为共享分区使用。企业对文件服务器的要求如下：

     1.所有用户访问samba服务器不需要二次认证。

     2.需要一个存放内部资料的目录，所有用户只读其中的内容。

     3.每个部门有一个需要存放资料的目录，只允许该部门的员工可见、可读、可写，其内容除了上传文件的用户及管理员外其他用户不能删除。

案例实施：

    1.在file.a.com上安装samba服务，Kerberos服务。

    2.在file.a.com 上配置/dev/sda10挂载参数，让该分区支持acl和磁盘配额。

      vi /etc/fstab   修改如下

      /dev/sda10  /share   ext3   defaults,acl,usrquota,grpquota  0  0

mount –o remount /share

    3.在file.a.com上建立共享文件。

mkdir /share/design          //设计部专用  设计部读写，其他只读

mkdir /share/design/public    //设计部公用，设计部读写，用户属主和管理员可删除

mkdir /share/office          //公用         全部只读

mkdir /share/market          //市场部专用   市场部读写，其他只读

mkdir /share/market/public     //市场部专用   市场部读写,用户属主和管理员可删除

mkdri /share/finance    //财务部专用   财务部读写，不能删除，只有财务经理可删除，其他人不可见

      mkdir /share/share      //个人文件夹   在此目录下为每个员工建立同名目录

      chmod o+t /share/market/public      //通过Sticky 实现每个部门公共目录的属主和管理员可删除其他

      chmod o+t /share/design/public        人不可删

    4.使用如下命令修改selinux的状态：

setsebool –P samba_domain_controller  on

setsebool –P samba_enable_home_dirs on

setsebool –P samba_export_all_rw  on

setsebool –P smbd_disable_trans=1

chcon –R –t samba_share_t /share

chcon –R –t samba_share_t /bin/mount

chcon –R –t samba_share_t /bin/umount

5.windows域控制器上建立相应的用户和组，以及ou，修改用户的主要组，改为建立的本部门组。

     6.修改/etc/krb5.conf , /etc/nsswitch.conf ,  /etc/samba/smb.conf , /etc/pam.d/system_auth配置文件。

vi  /etc/samba/smb.conf

[global]

fstype = Samba FileSystem   //客户端映射驱动器后，显示为samba filesystem 文件系统

hosts deny = ALL    //拒绝所有客户端的访问

hosts allow = 192.168.0.  192.168.1.  192.168.2.  //只允许这三个网段的计算机访问。

veto files = /*.exe /*.com /*.bat /*.vbs /*.inf /  //不允许存放这种类型的文件

delete veto files = yes   如果存入指定类型的文件，强制删除。（主要防止病毒传播）

admin user = administrator     //全局共享管理员

// crete mask = 444     //创建文件的权限。

use  sendfile = yes   //可以提高samba服务器的工作效率。

max connection = 100  //最大客户端连接数量。

dos charset=GB2312

unix charset=GB2312 加上这二句就可以正确显示中文了

[design]

comment = design user can write   //描述

path = /share/design              //共享的本地目录

valid users = @A/design @A/finance @A/market   //授权访问的用户或组

public = no                   //不允许匿名访问

read only = yes               //所有用户只读

write list = @A/design           //只有design组可写入

group = @A/design               //用户访问时建立的目录或文件属组为design

create mask = 0664               //用户建立文件的默认权限

directory mask =  0775          // 用户建立目录的默认权限

上面的为可用选项实例

下面为具体配置

        comment = design user can wrinte

        path = /share/design

        valid users = @A/design, @A/finance, @A/market

        write list = @A/design

        force group = @A/design

        create mask = 0664   

[finance]

        comment = finance user can write

        path = /share/finance

        valid users = @A/finance, @A/market, @A/design

        write list = @A/finance

        force group = @A/finance

        create mask = 0664

[market]

        comment = market user can wrinte

        path = /share/market

        write list = @A/market

        force group = @A/market

Linux系统目录的设置：

[root@localhost share]# pwd

/share

[root@localhost share]# ll

total 12

drwxrwxrw- 3 design1  design  4096 Sep 12 22:47 design

drwxrwxrw- 2 finance1 finance 4096 Sep 12 22:28 finance

drwxrwxrw- 3 market1  market  4096 Sep 12 22:43 market

[root@localhost share]#

注意应该是：chown A/design1:A/design design  

            chmod 776 design -R  或者   chmod 770 design -R

samba的全局配置：请看前文《samba与AD的整合》

此文档由  秘飞虎 （qq：815889476 mail：[email protected]） 花了很长时间，查了好多资料才完成的，如果转载，请保留作者，及联系方式。

本文转自秘飞虎51CTO博客，原文链接： http://blog.51cto.com/mifeihu/400228，如需转载请自行联系原作者