引言

傳統(tǒng)上，將 Unix® 系統(tǒng)作為中央服務(wù)器，用于存儲(chǔ)文件以及將文件提供給客戶端工作站。UNIX 的強(qiáng)大網(wǎng)絡(luò)功能和安全攻擊的快速響應(yīng)能力使它非常適合擔(dān)當(dāng)這個(gè)角色，但由于工具、服務(wù)器應(yīng)用程序、客戶端選項(xiàng)過多，即使在小型局域網(wǎng)（Local Area Network，LAN）上為各種客戶端系統(tǒng)的混合環(huán)境提供良好服務(wù)，系統(tǒng)設(shè)置和配置也非常麻煩。

運(yùn)行 Microsoft® Windows® 和 Apple 的 Mac OS X 的最流行的臺(tái)式計(jì)算機(jī)工作站和便攜式計(jì)算機(jī)可以方便地與 Windows 服務(wù)器進(jìn)行通信，而不要求使用任何額外的軟件或配置。它們對(duì) Server Message Block (SMB) 或 Common Internet Filesystem (CIFS) 網(wǎng)絡(luò)的支持通常稱為 Windows 網(wǎng)絡(luò)，從而使其成為自然而然的選擇。幸運(yùn)的是，SMB 或 CIFS 有免費(fèi)的 UNIX 實(shí)現(xiàn)可用，稱為 Samba。

Samba 實(shí)現(xiàn)了很多有用的文件（和打?。┕蚕砉δ?，如公共共享和按用戶共享，甚至可以在小型網(wǎng)絡(luò)上充當(dāng) Windows 主域控制器（primary domain controller，PDC）。為了提供另一種共享公共文件的方法，您將使用簡(jiǎn)單的 Apache Web 服務(wù)器設(shè)置來對(duì)此進(jìn)行增強(qiáng)。

開始之前

如果您希望按本文所述進(jìn)行操作，您將需要進(jìn)行一些準(zhǔn)備工作。此處所使用的所有工具都是開放源代碼，是免費(fèi)提供的。

Samba 是 SMB 或 CIFS 文件和打印共享與網(wǎng)絡(luò)身份驗(yàn)證的開發(fā)源代碼實(shí)現(xiàn)，Microsoft 的 Windows 和各種其他操作系統(tǒng)（包括 OS/2® 和 Mac OS X）使用的就是此類系統(tǒng)。此實(shí)現(xiàn)通常用于 Linux® 系統(tǒng)，安裝在其他 UNIX 系統(tǒng)上的可能性較小。如果尚未獲得此實(shí)現(xiàn)，請(qǐng)?jiān)L問 Samba 網(wǎng)站（請(qǐng)參閱參考資料），以獲取相關(guān)代碼并進(jìn)行安裝。

Apache 是全球最流行的 Web 服務(wù)器，如果您使用的是流行的 Linux 分發(fā)，則可能已經(jīng)將其安裝并在運(yùn)行。如果您未安裝 Apache 并運(yùn)行，請(qǐng)前往 Apache Software Foundation 網(wǎng)站（請(qǐng)參閱參考資料）進(jìn)行下載并安裝運(yùn)行。您將使用 Apache 來提供對(duì)稍后將設(shè)置的公共文件存儲(chǔ)區(qū)域的匿名訪問。

UNIX 服務(wù)器、臺(tái)式計(jì)算機(jī)客戶端

最簡(jiǎn)單的小型網(wǎng)絡(luò)莫過于通過路由器或交換機(jī)（大部分家庭網(wǎng)絡(luò)路由器都在設(shè)備中包含了至少四個(gè)交換端口）連接的一臺(tái)服務(wù)器和一臺(tái)客戶端工作站。這可能隨時(shí)間增長(zhǎng)而擴(kuò)大，通常的擴(kuò)展方法是添加更多的客戶端和在服務(wù)器上添加存儲(chǔ)空間?？梢栽谙旅娴膱D 1 中看到此類網(wǎng)絡(luò)。

圖 1. 簡(jiǎn)單的小型網(wǎng)絡(luò)

在此設(shè)置中，服務(wù)器充當(dāng)用于共享文件、備份（可能包括打印機(jī)共享）的中央位置。客戶端會(huì)根據(jù)情況與服務(wù)器及其他客戶端進(jìn)行通信。

為了讓此過程平穩(wěn)地進(jìn)行，應(yīng)使用服務(wù)器進(jìn)行單一的身份驗(yàn)證，以便在客戶端經(jīng)過身份驗(yàn)證后與其共享公共文件區(qū)域和各個(gè)用戶的私有文件區(qū)域，甚至可以考慮為未經(jīng)過身份驗(yàn)證的客戶端提供對(duì)公共文件的匿名訪問。最后一個(gè)功能非常不錯(cuò)，可用于您的朋友在不要求使用服務(wù)器帳戶的情況下使用其計(jì)算機(jī)訪問您的網(wǎng)絡(luò)。

以下各個(gè)部分將演示在 UNIX 系統(tǒng)上使用 Samba 和 Apache 實(shí)現(xiàn)所有這些功能的方法。

服務(wù)器身份驗(yàn)證

為了讓您的客戶端工作站使用 UNIX 服務(wù)器進(jìn)行身份驗(yàn)證，您需要將 Samba 設(shè)置為 PDC。這樣就提供了進(jìn)行身份驗(yàn)證的中央位置，且能與 Windows XP Professional 和 Mac OS X 客戶端良好地配合，而無需進(jìn)行其他工作。Windows XP Home 不支持域，如果您在 LAN 上使用 XP Home，則必須使用另一種身份驗(yàn)證技術(shù)。

將 Samba 配置為域控制器

作為 root 登錄后，找到 smb.conf 文件（通常位于 /etc/samba 中）并使用您習(xí)慣使用的文本編輯器對(duì)其進(jìn)行編輯。請(qǐng)注意，如果愿意，還可以使用 sudo 以 root 的身份編輯該文件（在本文中，我將假定您已作為 root 登錄；如果不是，請(qǐng)?jiān)诒疚慕o出的任何命令前鍵入 sudo，以作為 root 而不是目前的身份進(jìn)行運(yùn)行）。

找到 smb.conf 文件的 [global] 部分，并添加以下選項(xiàng)；如果已經(jīng)有了這些選項(xiàng)，請(qǐng)對(duì)其進(jìn)行更改，以與在清單 1 中所示的匹配。

清單 1. 添加到 Samba 的 [global] 部分的配置數(shù)據(jù)

[global]　workgroup = WORKS　domain logons = yes　security = user　local master = yes　os level = 65　preferred master = yes　domain master = yes　encrypt = yes　smb passwd file = /etc/samba/passwd　domain logons = yes　logon path = %nprofiles%u　logon drive = S:

這會(huì)將域名設(shè)置為 WORKS（也可以將其更改為其他名稱），并告知 Samba 要求使用用戶級(jí)別的安全性進(jìn)行域登錄。就是這樣，user 對(duì)應(yīng)于標(biāo)準(zhǔn)域身份驗(yàn)證系統(tǒng)。之所以將其稱為用戶 (user)，是因?yàn)槌顺Ｒ?guī)的域登錄名之外，域中的計(jì)算機(jī)還具有用戶帳戶。計(jì)算機(jī)需要通過域控制器的身份驗(yàn)證，然后才會(huì)被視為可信系統(tǒng)，從而得以與域的其他部分進(jìn)行交互。

您還需要設(shè)置域登錄并將 S: 驅(qū)動(dòng)器（顯然是在 Windows 計(jì)算機(jī)上）的自動(dòng)映射設(shè)置為 SERVERNAME%u（將 SERVERNAME 替換為您的 Samba 服務(wù)器的名稱）。%u 將替換為用戶的名稱，以便自動(dòng)擴(kuò)展為每個(gè)用戶的唯一共享名稱。logon path 設(shè)置用于漫游配置文件，以供移動(dòng)工作站（如便攜式計(jì)算機(jī)）使用。

接下來，需要添加用于網(wǎng)絡(luò)登錄服務(wù)的 [netlogon] 部分，如下面的清單 2 中所示。

清單 2. [netlogon] 部分

[netlogon]　command = The domain logon service.　path = /home/netlogon　guest ok = yes　public = no　writable = no　share modes = no

如果尚不存在，則必須創(chuàng)建 [netlogon] 部分中指示的路徑，且所指向的位置應(yīng)該為空。在身份驗(yàn)證期間將要求使用此共享。

進(jìn)行了這些更改后，需要添加計(jì)算機(jī)帳戶（以便域控制器知道并信任工作站）和用戶帳戶。

添加計(jì)算機(jī)帳戶

對(duì)于域控制器而言，計(jì)算機(jī)只是另一種類型的用戶而已，它需要具有自身的帳戶（但尾部帶有一個(gè)“$）。如果需要進(jìn)一步隔離 Samba 用戶，則還應(yīng)該為此類用戶創(chuàng)建一個(gè)新組。清單 3 顯示了如何在 Fedora Core 4 Linux 上使用 groupadd 命令進(jìn)行此任務(wù)；其他 UNIX 系統(tǒng)具有用于添加新組和用戶的類似實(shí)用工具或詳細(xì)說明。

清單 3. 為 Samba 添加一個(gè)組和計(jì)算機(jī)帳戶

/usr/sbin/groupadd smbusersfor system in machine1 machine2 ; do/usr/sbin/useradd -g smbusers -d /dev/null -s /dev/null $machine$ ;smbpasswd -m -a $machine ;done

這將創(chuàng)建 smbusers 組，并隨后添加 machine1 和 machine2 的計(jì)算機(jī)帳戶。添加了每個(gè)用戶后，其帳戶詳細(xì)信息將添加到 Samba passWord 文件。

現(xiàn)在可以為常規(guī)用戶添加帳戶。

關(guān)于 Windows XP 計(jì)算機(jī)帳戶的一點(diǎn)說明

當(dāng)首次從新添加的 Windows 計(jì)算機(jī)登錄到 Samba 服務(wù)器時(shí)，將需要使用 Samba 服務(wù)器的 root 密碼以 root 的身份登錄。這會(huì)在服務(wù)器上對(duì)計(jì)算機(jī)的帳戶進(jìn)行身份驗(yàn)證（將計(jì)算機(jī)添加到常規(guī) Windows 服務(wù)器域的域管理員可進(jìn)行相同的操作，但將使用域管理員帳戶）。以后將不再需要進(jìn)行此操作；在計(jì)算機(jī)經(jīng)過了身份驗(yàn)證后，用戶可以使用任何有效帳戶登錄到 Samba 服務(wù)器。

添加用戶帳戶

添加用戶帳戶與添加計(jì)算機(jī)帳戶類似；如果用戶尚不存在于 Samba 服務(wù)器上，則需要?jiǎng)?chuàng)建該用戶，然后使用 smbpasswd 命令將該用戶添加到 Samba password 文件。以下代碼演示了如何在 Fedora Core 4 Linux 上使用 useradd 命令進(jìn)行此任務(wù)；其他 UNIX 系統(tǒng)具有用于添加新用戶的類似實(shí)用工具或詳細(xì)說明。

/usr/sbin/useradd -g smbusers usernamesmbpasswd -a username

這會(huì)將 username 添加到系統(tǒng)和 Samba password 文件中。將會(huì)提示您設(shè)置 username 的密碼。請(qǐng)記住告知用戶您所設(shè)置的密碼！

重新啟動(dòng) Samba

由于已經(jīng)更改了 Samba 的配置，因此需要重新啟動(dòng)兩個(gè) Samba 后臺(tái)程序 smbd 和 nmbd，以便它們重新加載其配置文件。在 Fedora Core 4 上，將使用以下命令：

/etc/rc.d/init.d/smb restart

這將使用 smb init.d 腳本（在啟動(dòng)計(jì)算機(jī)時(shí)，也用此腳本來啟動(dòng) Samba）來重新啟動(dòng)服務(wù)器，如圖 2 中所示。

圖 2. Samba 正在重新啟動(dòng)

如果您的 UNIX 不是 Fedora Core 4，可以始終使用 smbcontrol 命令來告知后臺(tái)程序重新加載其配置文件：

smbcontrol nmbd reload-configsmbcontrol smbd reload-config

共享目錄

現(xiàn)在已經(jīng)將 Samba 配置為域控制器，并向其告知了您網(wǎng)絡(luò)上的計(jì)算機(jī)和用戶的信息，接下來應(yīng)設(shè)置一些有用的文件共享了。

至少，可以在服務(wù)器上提供相應(yīng)的個(gè)人目錄和公共共享（經(jīng)過身份驗(yàn)證的用戶可以在此存儲(chǔ)文件，以供任何人訪問）。還將設(shè)置一個(gè)完全開放的共享區(qū)域，任何人都可以在該區(qū)域存儲(chǔ)和檢索文件。

將清單 4 所示的 [homes] 部分添加到您的 smb.conf 文件，以在用戶登錄到 Samba 服務(wù)器時(shí)創(chuàng)建用戶的主目錄。此共享對(duì)其他用戶不可見（不可瀏覽），即使這些用戶經(jīng)過了服務(wù)器的身份驗(yàn)證也不行。對(duì)于客戶端工作站，其主共享以 SERVERuser 形式提供，其中 SERVER 是 Samba 服務(wù)器的名稱，而 user 是其用戶 ID。作為有效列表使用的 %S 宏表示當(dāng)前會(huì)話名稱，將為當(dāng)前登錄用戶的名稱。

清單 4. 向用戶提供主目錄

[homes]comment = Home DirectorIEsvalid users = %Sread only = nobrowseable = no

接下來，您將添加 [public] 和 [shared] 部分，以分別創(chuàng)建 SERVERpublic 和 SERVERshared 共享目錄（和前面一樣，其中的 SERVER 為您的 Samba 服務(wù)器的名稱）。這兩個(gè)共享的設(shè)置幾乎完全相同，但有一點(diǎn)差異。對(duì)于 [public] 共享，只有 Samba 用戶組的成員（使用 %G 宏表示）才允許對(duì)該共享進(jìn)行寫入操作。而任何人都可以對(duì) [shared] 共享進(jìn)行寫入操作（請(qǐng)參閱清單 5）。

清單 5. 兩個(gè)公共共享

[public]comment = Public filespublic = yesbrowseable = yeswrite list = %Gpath = /data/public[shared]comment = Totally open shared areapublic = yesbrowseable = yesread only = nopath = /data/shared

如果您信任訪問您的 Samba 服務(wù)器的人員，則應(yīng)該像此處一樣，只創(chuàng)建一個(gè)完全開放的共享；例如，在過去，開放 FTP 服務(wù)器就被濫用作盜版軟件的集散地。

向 smb.conf 配置文件添加了這些共享后，請(qǐng)記得重新啟動(dòng) Samba 或告知它重新加載其配置文件（請(qǐng)參閱重新啟動(dòng) Samba 部分）。

更方便地進(jìn)行訪問

現(xiàn)在應(yīng)該能正常地為希望登錄到 Samba 服務(wù)器的系統(tǒng)和用戶提供服務(wù)了；不過，現(xiàn)在還希望通過 Web 瀏覽器提供訪問，以便任何人都能從您的公共共享中下載文件。將通過將共享添加到 Samba 服務(wù)器上運(yùn)行的 Apache Web 服務(wù)器來實(shí)現(xiàn)此目標(biāo)。

找到 httpd.conf 文件（我的這個(gè)文件位于 /etc/httpd/conf 中），并添加清單 6 中的代碼。這兩個(gè)聲明 <Alias> 和 <Directory> 將在服務(wù)器上創(chuàng)建 http://server/public/ 和 http://server/shared/，并打開目錄列表，以便從任何 Web 瀏覽器進(jìn)行訪問。

清單 6. 提供對(duì)公共共享的 Web 訪問

Alias /public/ "/data/public/"<Directory "/data/public">Options Indexes MultiViewsAllowOverride NoneOrder allow,denyAllow from all</Directory*>Alias /shared/ "/data/shared/"<Directory "/data/shared">Options Indexes MultiViewsAllowOverride NoneOrder allow,denyAllow from all</Directory>

保存文件，并使用 apachectl 命令告知 Apache 重新加載其配置文件并激活新 URL。

/usr/sbin/apachectl restart

除了提供這些共享目錄方便的 Samba 訪問外，還可以供使用 Web 瀏覽器的任何人進(jìn)行訪問。

總結(jié)

通過使用強(qiáng)大且具有良好支持的免費(fèi)軟件（如 Samba 和 Apache），可以幫助進(jìn)行 UNIX 服務(wù)器與 Windows 及 Mac OS X 客戶端工作站的集成。Samba 通過充當(dāng) PDC 來提供身份驗(yàn)證服務(wù)。它能夠提供共享目錄，客戶端可以使用標(biāo)準(zhǔn)技術(shù)來方便地加載這些目錄。通過將 Apache 添加到混合環(huán)境中，還可以方便地提供對(duì)公共共享目錄未經(jīng)身份驗(yàn)證的只讀訪問。共享資源是使用 LAN 環(huán)境的目的之一，如果能夠共享資源，可減少與安裝和配置網(wǎng)絡(luò)相關(guān)的工作量。