samba配置文件帮助以及selinux配置

/etc/samba/smb是主要Samba配置文件。其中列出的选项,请参阅smb.conf(5)手册页。桑巴有一个巨大的可配置选项的数量,其中大部分在本例中没有显示。

Samba安装、配置指南:# http://www.samba.org/samba/docs/Samba-HOWTO-Collection.pdf
示例指南中有针对smb.conf的工作示例。本指南是每天生成:http://www.samba.org/samba/docs/Samba-Guide.pdf

注意:在修改这个文件后运行“testparm”命令来检查语法错误。


增强安全性的Linux (SELinux)

#打开samba_domain_controller布尔值,以允许Samba使用useradd二进制文件和groupadd家族。以根用户身份运行以下命令打开这个布尔值:

samba_domain_controller on


#打开samba_enable_home_dirs布尔值,如果你想共享home目录通过Samba。作为根用户运行下面的命令来打开它:

samba_enable_home_dirs


#如果您创建了一个新目录,比如一个新的顶级目录,请标记它使用samba_share_t,这样SELinux允许Samba对它进行读写。不使用samba_share_t标记系统目录,如/etc/和/home/这样的目录应该已经有一个SELinux标签。

#运行“ls -ldZ /path/to/directory”命令查看当前SELinux指定目录的 label。

#只在已创建的文件和目录上设置SELinux标签。使用chcon命令临时更改标签:

samba_share_t /path/to/directory


通过chcon所做的更改会在重新标记文件系统或命令时丢失,如restorecon运行。


#使用samba_export_all_ro或samba_export_all_rw布尔值共享系统目录。要共享这些目录并且只允许只读权限:设置samba_export_all_ro共享这些目录并允许读写权限:

samba_export_all_rw



要运行脚本(preexec/root prexec/print命令/…),请将它们复制到
 /var/lib/samba/scripts/目录,这样SELinux将允许smbd运行它们。

注意,如果将脚本移动到/var/lib/samba/scripts/,它们会保留下来
它们现有的SELinux标签,这些标签可能是SELinux不允许的smbd运行。复制脚本将得到正确的SELinux标签。
作为根用户运行“restorecon -R -v /var/lib/samba/scripts”命令
对这些文件应用正确的SELinux标签。




全局设置
——网络相关选项
workgroup = Windows NT域名或工作组名称,例如MYGROUP。

server字符串=相当于windowsnt描述字段。

netbios name =用于指定不绑定到主机名的服务器名。

 interfaces =用于配置Samba以侦听多个网络接口。

#如果您有多个接口,您可以使用“interfaces =”选项来

#配置Samba监听哪些接口。永远不要忽略本地主机接口(lo)。

hosts allow=允许连接的主机。此选项也可用于每股。

 hosts deny =主机不允许连接。此选项还可以用于以每股为基础。

 max protocol =用于定义支持的协议。默认值是NT1。你可以将其设置为SMB2,如果您想要实验性的SMB2支持。




日志文件=指定日志文件写入的位置以及如何分割它们。


#最大日志大小=指定日志文件允许达到的最大大小。日志

当文件达到指定的“最大日志大小”时,将旋转文件。



安全性
——独立服务器选项
安全性= Samba运行的模式。可以设置为user, share(不赞成使用)或server(不赞成使用)

passdb backend=用于存储用户信息的后端。新安装应该使用tdbsam或ldapsam。没有额外的配置tdbsam需要。“smbpasswd”实用程序可以管理samba用户。


——域成员选项
# security =必须设置为domain或ads。

passdb backend=用于存储用户信息的后端。新安装应该使用tdbsam或ldapsam。没有额外的配置tdbsam需要。“smbpasswd”实用程序可以管理samba用户。

# realm =只在设置了“security = ads”选项时使用realm选项。

# realm选项指定主机所属的Active Directory域。

 password server =仅在“security = server”时使用此选项

选项,或者如果您不能使用DNS定位域控制器。的参数列表可以包括My_PDC_Name, [My_BDC_Name]和[My_Next_BDC_Name]:My_PDC_Name [My_BDC_Name] [My_Next_BDC_Name]
使用"password server = *"自动定位域控制器。


——域控制者选项
对于域控制器,必须将security =设置为user。

passdb backend=用于存储用户信息的后端。新安装应该使用tdbsam或ldapsam。没有额外的配置tdbsam需要。“smbpasswd”实用程序可以管理samba用户。

# domain master =指定Samba为域主浏览器,允许

# Samba用于在子网之间整理浏览列表。不要使用“domain master”选项,如果您已经有一个Windows NT域控制器执行此任务。

domain logons = 允许Samba为Windows提供网络登录服务工作站。

 logon script =指定在客户端登录时运行的脚本。这些必须在名为NETLOGON的共享中提供脚本。

logon path=指定(带有UNC路径)存储用户配置文件的位置。

——浏览者控制选项
local master=当设置为no时,Samba不会成为主浏览者的网络。当设置为yes时,应用正常的选举规则。

os level =确定服务器在主浏览器中的优先级选举。默认值应该是合理的。

preferred master =设置为yes时,Samba在启动时强制进行本地浏览器选举(并使自己赢得选举的几率稍微高一些)。


——名称解析
本节详细介绍对Windows Internet名称服务(WINS)的支持。

注意:Samba既可以是WINS服务器,也可以是WINS客户机,但不能两者都是。

 wins support =当设置为yes时,Samba的NMBD组件启用它的wins服务器。

wins server=告知Samba的NMBD组件是wins客户端。

wins proxy =当设置为yes时,Samba代表回答名称解析查询不能赢得有能力的客户。要使其工作,必须至少有一个在网络上赢得服务器。默认值是no。

dns proxy =设置为yes时,Samba尝试通过dns解析NetBIOS名称网路资讯查询。


——打印选项
本节中的选项允许您配置非默认打印系统。

 load printers=设置为yes时,打印机列表将自动显示,而不是单独设置它们。

 cups options =允许您向cups库传递选项。例如,将此选项设置为raw可以让您在Windows客户端上使用驱动程序。

 printcap name =用于指定一个替代printcap文件。


——文件系统选项
如果文件系统支持,可以取消此部分中的选项扩展属性,并且这些属性是启用的(通常通过"user_xattr"挂载选项)。这些选项允许管理员指定DOS属性存储在扩展属性中,并确保
 Samba不更改权限位。

注意:这些选项可以在每股基础上使用。设置它们在全球范围内(在[global]部分中)使它们成为所有共享的默认值。










posted @ 2020-09-12 15:53  待乾卦  阅读(1090)  评论(0编辑  收藏  举报