亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        Samba 用戶訪問配置探討

        2019-11-25 08:56:10枝江市職業(yè)教育中心楊華董華敏
        網(wǎng)絡安全和信息化 2019年11期
        關鍵詞:用戶名配置文件全局

        ■枝江市職業(yè)教育中心 楊華 董華敏

        Samba 是在Linux 和Unix系統(tǒng)上實現(xiàn)SMB協(xié)議的一個免費軟件,由服務器及客戶端程序構成,安全高效地實現(xiàn)異構網(wǎng)絡環(huán)境下Windows 與Unix/Linux 之間的資源共享,與全世界的電腦分享資源。當然安全高效是以復雜的訪問控制為代價的,這給初學者的學習設置了極大的障礙,讓他們在網(wǎng)絡之路上停止不前。

        下面主要針對共享資源訪問用戶配置進行探討。

        匿名訪問

        舊版本中(Centos 6.5),全局配置:security=share,認證模式為share,所有用戶都不需要登錄認證就可以訪問共享資源;局部配置:public=yes 或guest ok=yes。

        新版本中(Centos 7.0),全局配置:security=user,map to guest=Bad User認證模式為user,實現(xiàn)匿名訪問無須輸入用戶名和密碼;局部配置public=yes 或guest ok=yes。

        注意:security=share 在新版中已經(jīng)被廢棄了,在配置文件中一段描述“Scurity canbesettouser,share(deprecated)orserver(deprecated) ”即安全性可以設置為用戶、共享(已棄用)或服務器(已棄用)。

        常見配置錯誤故障

        1.“security=share”,通過檢測配置文件,可以得到出錯信息:

        警 告:忽 略 參數(shù) 'security' 的 無 效值'share',加載服務時出錯。

        【故障排除】新版本摒棄了'share',只要將以上錯誤配置取消即可。

        2.“guest account=guest”,此項曾作用在老版中,將所有匿名用戶映射為guest 用戶,但在Centos 7中可以配置,而且testparm檢測配置文件也通過,但在啟動SMB 服務時出錯,通過顯示服務啟動狀態(tài)信息如下:

        【故障排除】只要將以上錯誤配置取消即可。

        其他的語法配置錯誤通過testparm 都可以檢測出來,根據(jù)出錯信息進行故障排除。

        注 意:public 與guest ok 設置是否允許匿名用戶訪問共享資源,當“public=yes”時表示允許,“public=no”時表示不允許,默認為“public=no”。在Samba 服務guest ok 有相同的功能。當在一個共享資源參數(shù)中guest ok 與public 參數(shù)發(fā)生沖突時,在后面的參數(shù)優(yōu)先。如下面的例子中就不允許匿名用戶訪問hbzjzj。

        用戶訪問

        用戶配置:

        passdbbackend=tdbsam 用戶后臺驗證模式配置

        samba 有三種用戶后臺:smbpasswd、tdbsam 和ldapsam。

        因為普通用戶第三種較少使用,所以主要討論前面兩種方式。

        (1)smbpasswd:使 用文本文件進行用戶配置,該方式是使用smb 工具smbpasswd 給系統(tǒng)用戶(真實用戶或者虛擬用戶)設置一個Samba 密碼,客戶端就用此密碼訪問Samba 資源。文件名為smbpasswd,路徑/var/lib/samba/private,也可以手工編輯該文件。

        (2)tdbsam:使用數(shù)據(jù)庫文件創(chuàng)建用戶數(shù)據(jù)庫。數(shù)據(jù)庫文件叫passdb.tdb,文件路徑位于/var/lib/samba/private。

        注意:新的版本安裝應使用tdbsam 或ldapsam。一般用戶配置選擇tdbsam 數(shù)據(jù)庫方式,管理安全、方便、高效,“smbpasswd”只是一種文本文件儲存方式,一般用戶可以輕易查看用戶信息(如下所示),之所以保留可用于向后兼容性。

        【smbpasswd 文件無法生成】

        samba 的早期版本默認使用tdb庫,也就是smb.conf 默認設定為passdb backend=tdbsam,如 果需要使用smbpasswd 文本文件保存smb 用戶,只需要注釋掉該行添加smb passwd file=/etec/samba/smbpasswd,即可使用smbpasswd 存儲加密密鑰。

        Samba 新版本更加規(guī)范了passdb backend 參數(shù)的使用,取消了smb passwd file 設定,如果簡單注釋掉passdb backend 參 數(shù),密鑰文件也不會被存儲到smbpasswd,無論如何修改smb.conf 的配置,smbpasswd文件都無法生成,必須采用新版本的配置 passdb backend=smbpasswd。在進行pdbedit-L查看samba 用戶信息時,它會根據(jù)用戶驗證配置方式去查找smbpasswd 文件,從中讀取用戶信息,如果沒有該文件,會自動創(chuàng)建一個,如下所示:

        Start smbfile pwent_internal:file/var/lib/samba/private/smbpasswd did not exist.File successfully created.

        smbpasswd 文件路徑配置變化

        Samba 版本升級了,很多參數(shù)細節(jié)變化了?,F(xiàn)在無論是使用tdb 數(shù)據(jù)庫存儲密鑰還是smbpasswd 文本存儲密鑰都要設定對應的passdb backend 參數(shù)。

        要用傳統(tǒng)的文本方式存儲只需這樣設定passdb backend=smbpasswd(/var/lib/samba/private默認是絕對路徑),如果寫成“passdb backend=/var/lib/samba/private/smbpasswd”,配置文件將報錯,因為路徑參數(shù)已經(jīng)不適用于新版本的Samba 了。

        用戶建立:

        以上兩種方式在配置是即可以使用smbpasswd 工具,也可以使用pdbedit 工具來配置smb 用戶,但前提是必須系統(tǒng)用戶,即通過useradd添加的用戶。

        這里的用戶名必須是Linux 中存在的用戶,可以使用useradd 命令在系統(tǒng)中添加一個用戶,然后再增加一個對應的Samba 用戶,也就是一個用戶名使用的是兩套密碼。一個是系統(tǒng)用戶密碼,另一個密碼存儲在/etc/samba/smbpasswd 文件中的samba 密碼,這樣可以防止系統(tǒng)用戶密鑰外泄帶來的安全隱患。

        注意:在不同的用戶后臺配置模式下建立的用戶是不可以互訪的??梢酝ㄟ^pdbedit-L 顯示在當前用戶配置下建立起來的smb 訪問用戶,如圖1所示。

        用戶名訪問控制:

        invalid users=user1#指定哪些用戶不能訪問

        valid users= user1 user2 # 指定哪些用戶可以訪問,多個用戶中間用空格隔開,如果是指定組,在組名前加上@,如果不指定則所有用戶都可訪問。

        valid users 與invalid users 發(fā)生沖突,即如果在兩個選項配置中,同時出現(xiàn)用戶名,則拒絕項優(yōu)先級最高,如上面配置中用戶user1 是被拒絕訪問的。

        用戶IP 訪問控制:

        在Samba 中使用hosts allow、hosts deny 參數(shù)時,該參數(shù)可以出現(xiàn)在全局配置部分,用于允許或拒絕可連接到Samba 服務器的客戶端,也可以出現(xiàn)在具體的共享資源配置中,用于允許或拒絕可訪問該資源的客戶端。

        全局配置中:

        Hosts deny指定客戶端,此時無法訪問Samba 服務器任何共享資源。

        hosts allow 指定客戶端,在具體共享資源中分以下幾種情況。

        (1)如在具體共享資源中只是指定了hosts deny,且與全局配置不沖突時,客戶端可以訪問具體共享資源。

        (2)如具體共享資源中只指定了hosts allow 且是全局配置的子集時,只有具體共享資源中指定的客戶端可以訪問。

        (3)如具體共享資源中即指定了hosts allow 又指定了hosts deny 時,首先根據(jù)hosts allow 與hosts deny 生效規(guī)則得出具體共享資源允許或拒絕的客戶端,再根據(jù)上面兩條規(guī)則得出最終的結果。

        注意:hosts deny 與hosts allow 發(fā)生沖突時,hosts allow 優(yōu)先;只有hosts allow,除了hosts allow 中指定的客戶端外其他所有客戶端都不能訪問;只有hosts deny,除了hosts deny 中指定的客戶端外其他所有客戶都可以訪問。

        案例:

        如果想設置Samba 中一共享目錄某個IP 段可以訪問,但要排除某地址,會想到hosts allow 和hosts deny 一起使用,但不會達到預期效果,如下所示,希望172.16.0.0/16 網(wǎng)段都能訪問,除了172.16.20.4 以外。

        測試結果是在172.16.20.4 上還是可以訪問,因為兩個配置有沖突,都存在172.16.20.4 這個網(wǎng)址,而默認hosts allow 優(yōu)先。

        當然,實現(xiàn)這種功能需要用到另一個參數(shù)了,改為下面的配置就可以了:

        幾種特殊的用戶共享參數(shù)

        1.家目錄訪問【homes】

        此共享名稱(默認情況下啟用)是一個特別共享,此共享名稱有特殊意義,為每個Samba 用戶定義其是否能夠通過Samba 服務訪問自己的家目錄,只對用戶訪問有意義,對于匿名訪問沒有意義,如果是匿名訪問可以顯示但無打開。

        如果是用戶訪問,path選項沒有配置,就會映射到各自訪問用戶的家目錄,其它用戶家目錄不可見,但實質(zhì)上是通過browseable=no選項進行了隱藏,可以通過UNC 路徑顯示共享名稱,但不能訪問。如果path 有配置,所有用戶訪問就會映射到具體的訪問路徑。

        2.瀏覽顯示 【browseable=yes】

        通過browseable 參數(shù)可控制用戶瀏覽權限,當browseable=yes 時,將顯示共享資源,當browseable=no時,將隱藏共享資源,默認為browseable=yes。但共享資源被隱藏后只是在瀏覽Samba服務器時不可見,與可不可以訪問該共享資源無關。

        如上面例子中[hbzjzj]設置為隱藏共享,通過Windows 客戶端或smbclient-L 瀏覽時查看不到,但還是可以通過UNC(共享資源名稱,\IP 地址hbzjzj) 訪問,(此功能與Windows 中創(chuàng)建共享文件夾時在共享名后加$功能一樣)。

        猜你喜歡
        用戶名配置文件全局
        《護士進修雜志》投稿程序
        Cahn-Hilliard-Brinkman系統(tǒng)的全局吸引子
        提示用戶配置文件錯誤 這樣解決
        量子Navier-Stokes方程弱解的全局存在性
        搭建簡單的Kubernetes集群
        互不干涉混用Chromium Edge
        忘記ESXi主機root密碼怎么辦
        落子山東,意在全局
        金橋(2018年4期)2018-09-26 02:24:54
        機智的快遞員
        故事會(2017年17期)2017-09-04 17:36:42
        新思路:牽一發(fā)動全局
        久久久精品人妻一区亚美研究所| 国产一区二区三区成人| 日本视频二区在线观看| 少妇aaa级久久久无码精品片| 国产天堂在线观看| 麻豆AV无码久久精品蜜桃久久| 亚洲精品一区二区三区新线路| 人与人性恔配视频免费 | 国产成人a在线观看视频免费| 综合久久给合久久狠狠狠97色| 国产国拍亚洲精品福利| 韩国黄色三级一区二区| 精品久久久久久亚洲综合网| 久久无码专区国产精品s| 国产精品美女白浆喷水| 少妇又紧又色又爽又刺| 丝袜美腿av在线观看| 99国产精品人妻噜啊噜| 久久亚洲国产中v天仙www| 久久天堂av综合合色| 91中文人妻熟女乱又乱| 极品美女aⅴ在线观看| 成人片99久久精品国产桃花岛| 亚洲av中文字字幕乱码软件| 中文字幕av伊人av无码av| 亚洲 欧美精品suv| 亚洲色婷婷综合开心网| 国产高清视频在线不卡一区| 久久天堂综合亚洲伊人hd妓女| 亚洲综合网在线观看首页| 亚洲国产成人av第一二三区| 亚洲中文字幕舔尻av网站| 欧美大肥婆大肥bbbbb| 久久久综合九色合综国产| 美女一区二区三区在线视频| 国产美女精品视频线免费播放软件 | 中文字幕在线久热精品| 亚洲免费一区二区av| 天堂国产一区二区三区| 色综合久久久久久久久五月| 日韩精品中文字幕人妻中出|