項(xiàng)目驅(qū)動(dòng)法在Linux系統(tǒng)安裝Samba服務(wù)課程中的應(yīng)用

摘要：高職院校以培養(yǎng)應(yīng)用型、技術(shù)型、技能型、實(shí)用性人才為目標(biāo)，在計(jì)算機(jī)學(xué)科教學(xué)過(guò)程中，項(xiàng)目驅(qū)動(dòng)教學(xué)法最能體現(xiàn)其教學(xué)特點(diǎn)。通過(guò)設(shè)計(jì)實(shí)驗(yàn)場(chǎng)景，讓學(xué)生在做中學(xué)，做到理論與實(shí)際相結(jié)合，提高學(xué)生的動(dòng)手能力和學(xué)習(xí)熱情、從而增強(qiáng)學(xué)生分析和解決問(wèn)題的能力、進(jìn)一步加深對(duì)理論知識(shí)的理解。該文首先對(duì)Samba做了介紹，接著介紹了Samba服務(wù)器的配置，最后通過(guò)設(shè)計(jì)項(xiàng)目場(chǎng)景和具體實(shí)驗(yàn)完成了Samba服務(wù)器的配置、管理及測(cè)試。

關(guān)鍵詞：Linux; Samba協(xié)議;共享資源;Windows;訪問(wèn)安全

一、引言

Linux作為一種免費(fèi)使用和自由傳播的類(lèi)UNIX操作系統(tǒng)，具有開(kāi)源、可靠、安全、穩(wěn)定、多平臺(tái)等特點(diǎn)。Linux服務(wù)器在各行各業(yè)中有廣泛的應(yīng)用，Linux服務(wù)可以提供數(shù)據(jù)庫(kù)管理和網(wǎng)絡(luò)服務(wù)等內(nèi)容，它不僅性能高，而且是一種開(kāi)源且免費(fèi)的服務(wù)器[1]。目前，多家廠商通過(guò)修改源代碼以滿足實(shí)際需求，同時(shí)，由于Linux系統(tǒng)自身結(jié)構(gòu)的的優(yōu)勢(shì)，其數(shù)據(jù)和業(yè)務(wù)處理能力非常強(qiáng)，其高安全性和穩(wěn)定性能夠提高服務(wù)器的可用性，從而能夠?qū)崿F(xiàn)業(yè)務(wù)的穩(wěn)定、高效運(yùn)行。因此，市場(chǎng)上大部分服務(wù)器均采用Linux 系統(tǒng)架構(gòu)，作為最先連接Linux和Windows平臺(tái)之間的橋梁，Samba服務(wù)器的文件共享功能，使得 Linux操作系統(tǒng)和Windows操作系統(tǒng)之間的文件復(fù)制（大文件和小文件都適用）、資源共享、打印服務(wù)更加便利。

二、Samba 概述

（一）Samba簡(jiǎn)介

Samba 是在linux /unix 系統(tǒng)上實(shí)現(xiàn)SMB（ Session Message Block） 協(xié)議的一個(gè)免費(fèi)軟件， SMB是一個(gè)協(xié)議縮寫(xiě)，Server Message Block是SMB的全拼，我們可以將其看作是局域網(wǎng)絡(luò)中共享文件和打印機(jī)的一種協(xié)議，我們可以將其架設(shè)成一個(gè)功能非常強(qiáng)大的文件服務(wù)器，其功能類(lèi)似windows操作系統(tǒng)的網(wǎng)上鄰居。通過(guò)安裝Samba服務(wù)，Windows可以在網(wǎng)上鄰居中瀏覽Linux操作系統(tǒng)。Windows和Linux客戶端的用戶可以通過(guò)用戶名和密碼登錄到Linux 系統(tǒng)中的Samba服務(wù)器中，在Linux 系統(tǒng)中實(shí)現(xiàn)瀏覽、創(chuàng)建、刪除、修改、復(fù)制文件等功能，從而實(shí)現(xiàn)Windows與Linux 、Linux與Linux系統(tǒng)之間的資源共享[2]。

Samba是一個(gè)免費(fèi)的軟件，這款軟件包含服務(wù)器端和客戶端。通過(guò)SMB協(xié)議，客戶端應(yīng)用程序無(wú)需將服務(wù)器端的文件下載到本地的情況下，可以在Windows 與 Unix-Like以及Linux與UNIX系統(tǒng)不同的平臺(tái)、局域網(wǎng)和廣域網(wǎng)等不同的網(wǎng)絡(luò)環(huán)境下讀、寫(xiě)服務(wù)器上的文件，不同于FTP服務(wù)，Samba在讀寫(xiě)服務(wù)器上的文件時(shí)，無(wú)需將服務(wù)器上的文件下載到客戶端[3]。SMB協(xié)議功能強(qiáng)大，除了可以實(shí)現(xiàn)局域網(wǎng)絡(luò)中的文件共享服務(wù)，本地客戶端通過(guò)應(yīng)用程序還可以實(shí)現(xiàn)訪問(wèn)遠(yuǎn)程Samba服務(wù)器端的文件和打印機(jī)、Windows 網(wǎng)絡(luò)上的主機(jī)名稱(chēng)解析、裝置的分享等功能。

Samba服務(wù)由2個(gè)核心守護(hù)進(jìn)程組成，分別是smbd和nmbd。Smbd命令（全稱(chēng)為samba daemon），smbd 守護(hù)進(jìn)程處理來(lái)自 SMB 客戶機(jī)（如 Windows 客戶機(jī)）的 CIFS/SMB 請(qǐng)求，可分享文件與打印機(jī)等網(wǎng)絡(luò)資源供Windows相關(guān)的用戶端程序存取服務(wù)等;nmbd守護(hù)進(jìn)程的作用是Samba服務(wù)器對(duì)Samba客戶端進(jìn)行名字解析和瀏覽服務(wù)，瀏覽服務(wù)的主要作用是將服務(wù)器上可供訪問(wèn)的共享資源以列表的方式顯示在客戶端。

（二）Samba服務(wù)工作原理

Samba服務(wù)的功能非常強(qiáng)大，這與它在Linux和UNIX系統(tǒng)上實(shí)現(xiàn)SMB協(xié)議有大的關(guān)系。SMB軟件能夠讓 Windows、Linux、Unix、 DOS 之間互相的分享數(shù)據(jù)，SMB協(xié)議能夠提供目錄列表和打印服務(wù)，支持客戶端認(rèn)證和授權(quán)功能、名稱(chēng)解析等功能。

早期，SMB協(xié)議運(yùn)行于NBT協(xié)議上，通過(guò)設(shè)置相關(guān)協(xié)議，Samba軟件不但能夠訪問(wèn)局域網(wǎng)中服務(wù)器的共享資源，還可以實(shí)現(xiàn)在廣域網(wǎng)上分享共享資源。

Samba軟件由服務(wù)器端和客戶端組成，客戶端可以是Windows系統(tǒng)或者Linux系統(tǒng)。通過(guò)SMB協(xié)議，被授權(quán)的Windows客戶端可以通過(guò)【網(wǎng)上鄰居】窗口查看到Linux服務(wù)器中指定的共享的資源列表，如果是Linux操作系統(tǒng)，客戶端也能夠訪問(wèn)到服務(wù)器上已授權(quán)的共享資源列表。Samba服務(wù)的具體工作流程如圖1所示。

1.建立會(huì)話

Samba服務(wù)工作流程的第一步是Samba客戶端向Samba服務(wù)器端發(fā)送一個(gè)請(qǐng)求數(shù)據(jù)報(bào)，數(shù)據(jù)報(bào)中包含客戶端已編碼的NETBIOS名字。針對(duì)有效的會(huì)話連接，Samba服務(wù)器在接收到客戶端請(qǐng)求數(shù)據(jù)報(bào)后，會(huì)響應(yīng)一個(gè)NETBIOS session確認(rèn)數(shù)據(jù)報(bào)，在雙方成功建立會(huì)話后，客戶才能進(jìn)行接下來(lái)的工作流程[4]。

2.協(xié)議協(xié)商

在客戶訪問(wèn)服務(wù)器資源前，需要進(jìn)行協(xié)商，具體過(guò)程：Samba客戶端首先會(huì)發(fā)送一個(gè)SMB negprot指令作為請(qǐng)求數(shù)據(jù)報(bào)，此數(shù)據(jù)報(bào)的目的是告知服務(wù)器其所支持的SMB協(xié)議類(lèi)型。服務(wù)器在接收到請(qǐng)求信息后，以SMB negprot指令作為響應(yīng)數(shù)據(jù)報(bào)，根據(jù)客戶端的請(qǐng)求信息，服務(wù)器選擇最合適通信的SMB類(lèi)型。如果服務(wù)發(fā)現(xiàn)列表中沒(méi)有可以使用的SMB版本，在響應(yīng)信息中會(huì)返回oXFFFFH信息，從而結(jié)束此次通信。

3.建立連接

在服務(wù)器和客戶端完成協(xié)議協(xié)商后，會(huì)確定通信所使用的SMB協(xié)議版本。之后，客戶端向服務(wù)器發(fā)送一個(gè)名為SesssetupX的指令請(qǐng)求數(shù)據(jù)報(bào)，數(shù)據(jù)報(bào)中包含有客戶端作為認(rèn)證信息的賬號(hào)和密碼。服務(wù)器在收到請(qǐng)求數(shù)據(jù)報(bào)之后，會(huì)響應(yīng)一個(gè)SesssetupX數(shù)據(jù)報(bào)作為應(yīng)答，用來(lái)拒絕或運(yùn)行客戶端的請(qǐng)求，如果Samba客戶端的提交的請(qǐng)求數(shù)據(jù)報(bào)中的信息通過(guò)驗(yàn)證，服務(wù)器會(huì)為客戶端用戶分配一個(gè)UID供雙方通信使用。

4.訪問(wèn)共享資源

當(dāng)客戶端和服務(wù)器完成了協(xié)商和認(rèn)證之后，Samba客戶端就可以訪問(wèn)Samba服務(wù)器中的共享資源，此時(shí)客戶具有訪問(wèn)服務(wù)器的權(quán)限，但是沒(méi)有列明具體的資源名稱(chēng)。客戶端會(huì)發(fā)送一個(gè)tree connect指令或SMB TconX指令數(shù)據(jù)報(bào)，數(shù)據(jù)報(bào)包含有客戶所訪問(wèn)資源的具體名稱(chēng)，服務(wù)器在接收到客戶端的請(qǐng)求信息后，會(huì)響應(yīng)一個(gè)SMB TconX的數(shù)據(jù)包作為應(yīng)答信息，以表示此次請(qǐng)求是接受或拒絕。如果客戶端請(qǐng)求成功，Samba服務(wù)器會(huì)對(duì)此次連接分配TID，此后便可以實(shí)現(xiàn)資源共享。

5.使用資源

連接到相應(yīng)資源后，Samba客戶端就可以通過(guò)向服務(wù)器發(fā)送響應(yīng)的指令打開(kāi)、讀取、寫(xiě)入和關(guān)閉文件。

6.斷開(kāi)連接

完成共享操作后，客戶端需要結(jié)束共享并斷開(kāi)與服務(wù)器的連接，以節(jié)省網(wǎng)絡(luò)資源。此時(shí)Samba客戶端首先會(huì)發(fā)送一個(gè)名為tree disconnect的請(qǐng)求數(shù)據(jù)報(bào)，用來(lái)結(jié)束與服務(wù)器的共享服務(wù)，同時(shí)與服務(wù)器斷開(kāi)連接。

三、Samba 實(shí)驗(yàn)設(shè)計(jì)

（一）Samba 應(yīng)用場(chǎng)景

某學(xué)校計(jì)算機(jī)課室有Samba服務(wù)器管理員system、任課老師teacher、課室管理員manager、學(xué)生student共4個(gè)小組，Samba服務(wù)器使用Linux操作系統(tǒng)，系統(tǒng)版本為RHEL 7，其他組成員使用的操作系統(tǒng)不做限制，此次實(shí)驗(yàn)設(shè)計(jì)為建立在RHEL 7之上的安全文件共享方案。實(shí)驗(yàn)中，在服務(wù)器上為每個(gè)用戶組分配對(duì)應(yīng)的共享空間，teacher組和manager組有共用的一個(gè)空間，其他組成員不能訪問(wèn);我們建立一個(gè)名為sucai的只讀權(quán)限的空間，供所有用戶（包括匿名用戶）訪問(wèn);另外再建立一個(gè)可供所有用戶（包括匿名用戶）讀寫(xiě)的共享空間，用來(lái)存放公共或臨時(shí)性的文件。

（二）項(xiàng)目目標(biāo)

System組：用來(lái)管理和維護(hù)Samba服務(wù)器，具有全部權(quán)限，管理所有Samba空間的權(quán)限。

私有空間：用戶組的私有空間除了小組成員本身和system組以外，其他用戶不可訪問(wèn)（包括列表、讀和寫(xiě)）。

素材庫(kù)sucai：作為公共的資源存儲(chǔ)空間，為所有用戶讀設(shè)置讀取但不能寫(xiě)入數(shù)據(jù)的權(quán)限。

teacher組和manager組的共享教學(xué)kejian空間，teacher組和manager組之外的用戶不能訪問(wèn)。

public空間：供所有用戶讀取、寫(xiě)入、刪除。

（三）Samba Server安裝與配置

1. Samba服務(wù)的安裝

配置SAMBA SERVER前的準(zhǔn)備步驟：安裝Linux操作系統(tǒng)（本文不做介紹）與SAMBA 服務(wù)。

第1步：檢測(cè)Linux系統(tǒng)是否已經(jīng)安裝了SAMBA 服務(wù)，具體命令如下所示：

rpm -qa | grep samba

如查詢(xún)結(jié)果為空，則說(shuō)明服務(wù)器暫未安裝SAMBA服務(wù)。

第2步：若系統(tǒng)未安裝SAMBA服務(wù)，（本次實(shí)驗(yàn)）使用yum命令安裝SAMBA服務(wù)，具體步驟如下：

從網(wǎng)絡(luò)上下載Linux 的鏡像文件，掛載ISO安裝鏡像，命令如下：

mkdir /mnt/cdrom/

mount /dev/cdrom /mnt/cdrom/

第3步：制作用于安裝的yum源文件;編輯dvd.repo文件，具體操作如下：

編輯vim /etc/yum.repos.d/dvd.repo文件，添加以下內(nèi)容：

[dvd]

name=dvd

baseurl=file：///mnt/cdrom

gpgcheck=0

enable=1

第4步：使用yum命令查看Samba軟件包的信息，命令如下：

yum info samba;

第5步：使用yum命令在SAMBA服務(wù)器上安裝SAMBA服務(wù)：

yum clean all

yum install Samba -y;

第6步：軟件包安裝完畢，再次進(jìn)行查詢(xún);

rpm -qa | grep samba

samba-4.4.4-9.el7.x86_64

……

如出現(xiàn)以上內(nèi)容，說(shuō)明Samba服務(wù)器已正常安裝Samba軟件。

2. Samba共享資源的配置

第1步：建立共享目錄，并在其下建立用戶組文件夾。

建立共享目錄：mkdir /classroom

創(chuàng)建用戶組system、 teacher、 manager 、student文件夾：

mkdir /classroom/system

……

第2步：創(chuàng)建用戶和組。

先使用groupadd命令添加用戶組，然后各用戶組添加對(duì)應(yīng)的用戶，執(zhí)行useradd命令和passwd命令，為的賬號(hào)及密碼：

groupadd system

……

創(chuàng)建系統(tǒng)用戶

useradd -G system system1

第3步：添加相應(yīng)的Samba賬號(hào)

為各組成員添加相應(yīng)Samba賬號(hào)：

smbpasswd -a system1

New SMB password：

Retype new SMB password：

Added user system1.

smbpasswd -a teacher1

smbpasswd -a manager1

smbpasswd -a student1

……

第4步：設(shè)置文件夾權(quán)限

chown system1：system /classroom/system/

……

chmod 770 /classroom/*

chmod 644 /classroom/sucai/

chmod 777 /classroom/public/

……

更改文件的訪問(wèn)控制列表，設(shè)置特定目錄的權(quán)限

setfacl -m d：g：system：rwx *

……

指定特定目錄及其子目錄下新建的文件或目錄對(duì)于用戶system1都有讀寫(xiě)執(zhí)行的權(quán)限

setfacl -m u：system1：rwx sucai/

……

3. Samba服務(wù)器端配置

第1步：編輯Samba服務(wù)器配置文件，配置文件為smb.conf。

編輯配置文件所使用的工具為vim，具體命令為：

vim /etc/samba/smb.conf，

在文件中須包含以下關(guān)鍵代碼內(nèi)容：

[classroom] ? #設(shè)置共享名稱(chēng)，供網(wǎng)絡(luò)用戶訪問(wèn)時(shí)使用;

comment = classroom? ?#備注信息，方便用戶識(shí)別;

path = /classroom #設(shè)置共享資源的原始完整路徑，此處的路徑為絕對(duì)路徑;

public = yes #允許匿名訪問(wèn);

writable = yes #設(shè)置目錄，允許用戶讀寫(xiě);

編輯完成后，保存并退出。

第2步：重啟服務(wù)器端的Samba 服務(wù)。

systemctl start smb #啟動(dòng)smb服務(wù);

systemctl start nmb #啟動(dòng)nmb服務(wù);

systemctl enable smb nmb #設(shè)置smb服務(wù)nmb服務(wù)為開(kāi)機(jī)啟動(dòng);

第3步：配置防火墻及共享目錄的context值。

讓防火墻放行Samba服務(wù)，

firewall-cmd --permanent --add-service=samba //讓防火墻放行Samba服務(wù);

success

firewall-cmd –reload //重新加載防火墻;

更改共享目錄的context值，

chcon -t samba_share_t /classroom/ -R

（四）測(cè)試

第1步 ：Windows客戶端訪問(wèn)Samba 共享

Samba共享服務(wù)器可以部署在linux系統(tǒng)上，也可以部署在Windows系統(tǒng)上。無(wú)論是哪一種部署方式，通過(guò)Windows系統(tǒng)進(jìn)行訪問(wèn)時(shí)的操作步驟和方法是一樣的。此次實(shí)驗(yàn)場(chǎng)景設(shè)計(jì)為在Linux系統(tǒng)上部署Samba共享服務(wù)，下面我們通過(guò)Windows系統(tǒng)來(lái)訪問(wèn)Samba服務(wù)。

選擇“開(kāi)始”-“運(yùn)行”命名，使用UNC路徑直接進(jìn)行訪問(wèn)，輸入＼＼192.168.1.3。打開(kāi)“Windows安全”對(duì)話框，輸入system1的用戶名和密碼，登錄后可以正常訪問(wèn)classroom共享文件夾。

第2步： Linux客戶端訪問(wèn)Samba 共享

Samba服務(wù)程序不僅能實(shí)現(xiàn)Windows客戶端訪問(wèn)Linux系統(tǒng)資源，還可以實(shí)現(xiàn)Linux系統(tǒng)之間的文件共享，Samba服務(wù)器主機(jī)的IP地址為192.168.1.3，在Linux系統(tǒng)中，我們需要安裝Samba客戶端需要用到的服務(wù)和支持文件共享服務(wù)的軟件包（cifs-utils）。

在Linux系統(tǒng)上安裝samba-client和cifs-utils，具體命令如下：

yum install samba-client -y

yum install cifs-utils –y

使用smbclient命令行共享訪問(wèn)模式瀏覽共享資料，此時(shí)我們使用teach組的teach1用戶登錄，具體命令如下：

smbclient? //192.168.1.3/classroom? -U teacher1%teacher1

切換到用戶組所在文件夾，新建一個(gè)目錄進(jìn)行測(cè)試。

通過(guò)測(cè)試，Windows和linux客戶端成功訪問(wèn)Samba服務(wù)器資源，權(quán)限測(cè)試正常。

四、結(jié)束語(yǔ)

通過(guò)實(shí)驗(yàn)，實(shí)現(xiàn)Windows和linux客戶端訪問(wèn)Samba服務(wù)器共享資源，本文設(shè)計(jì)了一個(gè)基本的實(shí)驗(yàn)場(chǎng)景，給出了關(guān)鍵步驟的詳細(xì)截圖，結(jié)合文件夾、用戶以及相關(guān)權(quán)限的設(shè)置，通過(guò)Samba資源共享及相關(guān)權(quán)限的測(cè)試和分析，使學(xué)生更好地理解SMB相關(guān)概念以及Samba客戶端和服務(wù)器的工作流程及原理，為后續(xù)的Linux理論學(xué)習(xí)、實(shí)踐、實(shí)驗(yàn)打下基礎(chǔ)。

作者單位：沈勁桐? ? 廣東省外語(yǔ)藝術(shù)職業(yè)學(xué)院

沈勁桐（1986-），男，湖南株洲，碩士，中級(jí)網(wǎng)絡(luò)工程師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

參? 考? 文? 獻(xiàn)

[1]任志遠(yuǎn).Linux服務(wù)器安全防護(hù)部署[J].軟件（教育現(xiàn)代化）（電子版），2019（4）：36.

[2]李剛，唐江浪，郭麗華.基于人機(jī)交互解釋系統(tǒng)的Samba服務(wù)器研究與應(yīng)用[J].軟件，2012（07）.

[3]趙麗.Linux案例教學(xué)之samba服務(wù)器配置[J].林區(qū)教學(xué)，2012（03）：79-80.

[4]文戈.中山火炬職業(yè)技術(shù)學(xué)院校園網(wǎng)安全技術(shù)研究與實(shí)施[D].重慶大學(xué)，碩士（專(zhuān)業(yè)：軟件工程）;2009.