引言

傳統(tǒng)上，將 Unix® 系統(tǒng)作為中央服務器，用于存儲文件以及將文件提供給客戶端工作站。UNIX 的強大網(wǎng)絡功能和安全攻擊的快速響應能力使它非常適合擔當這個角色，但由于工具、服務器應用程序、客戶端選項過多，即使在小型局域網(wǎng)（Local Area Network，LAN）上為各種客戶端系統(tǒng)的混合環(huán)境提供良好服務，系統(tǒng)設置和配置也非常麻煩。

運行 Microsoft® Windows® 和 Apple 的 Mac OS X 的最流行的臺式計算機工作站和便攜式計算機可以方便地與 Windows 服務器進行通信，而不要求使用任何額外的軟件或配置。它們對 Server Message Block (SMB) 或 Common Internet Filesystem (CIFS) 網(wǎng)絡的支持通常稱為 Windows 網(wǎng)絡，從而使其成為自然而然的選擇。幸運的是，SMB 或 CIFS 有免費的 UNIX 實現(xiàn)可用，稱為 Samba。

Samba 實現(xiàn)了很多有用的文件（和打印）共享功能，如公共共享和按用戶共享，甚至可以在小型網(wǎng)絡上充當 Windows 主域控制器（primary domain controller，PDC）。為了提供另一種共享公共文件的方法，您將使用簡單的 Apache Web 服務器設置來對此進行增強。

開始之前

如果您希望按本文所述進行操作，您將需要進行一些準備工作。此處所使用的所有工具都是開放源代碼，是免費提供的。

Samba 是 SMB 或 CIFS 文件和打印共享與網(wǎng)絡身份驗證的開發(fā)源代碼實現(xiàn)，Microsoft 的 Windows 和各種其他操作系統(tǒng)（包括 OS/2® 和 Mac OS X）使用的就是此類系統(tǒng)。此實現(xiàn)通常用于 Linux® 系統(tǒng)，安裝在其他 UNIX 系統(tǒng)上的可能性較小。如果尚未獲得此實現(xiàn)，請訪問 Samba 網(wǎng)站（請參閱參考資料），以獲取相關代碼并進行安裝。

Apache 是全球最流行的 Web 服務器，如果您使用的是流行的 Linux 分發(fā)，則可能已經(jīng)將其安裝并在運行。如果您未安裝 Apache 并運行，請前往 Apache Software Foundation 網(wǎng)站（請參閱參考資料）進行下載并安裝運行。您將使用 Apache 來提供對稍后將設置的公共文件存儲區(qū)域的匿名訪問。

UNIX 服務器、臺式計算機客戶端

最簡單的小型網(wǎng)絡莫過于通過路由器或交換機（大部分家庭網(wǎng)絡路由器都在設備中包含了至少四個交換端口）連接的一臺服務器和一臺客戶端工作站。這可能隨時間增長而擴大，通常的擴展方法是添加更多的客戶端和在服務器上添加存儲空間。可以在下面的圖 1 中看到此類網(wǎng)絡。

圖 1. 簡單的小型網(wǎng)絡

在此設置中，服務器充當用于共享文件、備份（可能包括打印機共享）的中央位置。客戶端會根據(jù)情況與服務器及其他客戶端進行通信。

為了讓此過程平穩(wěn)地進行，應使用服務器進行單一的身份驗證，以便在客戶端經(jīng)過身份驗證后與其共享公共文件區(qū)域和各個用戶的私有文件區(qū)域，甚至可以考慮為未經(jīng)過身份驗證的客戶端提供對公共文件的匿名訪問。最后一個功能非常不錯，可用于您的朋友在不要求使用服務器帳戶的情況下使用其計算機訪問您的網(wǎng)絡。

以下各個部分將演示在 UNIX 系統(tǒng)上使用 Samba 和 Apache 實現(xiàn)所有這些功能的方法。

服務器身份驗證

為了讓您的客戶端工作站使用 UNIX 服務器進行身份驗證，您需要將 Samba 設置為 PDC。這樣就提供了進行身份驗證的中央位置，且能與 Windows XP Professional 和 Mac OS X 客戶端良好地配合，而無需進行其他工作。Windows XP Home 不支持域，如果您在 LAN 上使用 XP Home，則必須使用另一種身份驗證技術。

將 Samba 配置為域控制器

作為 root 登錄后，找到 smb.conf 文件（通常位于 /etc/samba 中）并使用您習慣使用的文本編輯器對其進行編輯。請注意，如果愿意，還可以使用 sudo 以 root 的身份編輯該文件（在本文中，我將假定您已作為 root 登錄；如果不是，請在本文給出的任何命令前鍵入 sudo，以作為 root 而不是目前的身份進行運行）。

找到 smb.conf 文件的 [global] 部分，并添加以下選項；如果已經(jīng)有了這些選項，請對其進行更改，以與在清單 1 中所示的匹配。

清單 1. 添加到 Samba 的 [global] 部分的配置數(shù)據(jù)

[global]　workgroup = WORKS　domain logons = yes　security = user　local master = yes　os level = 65　preferred master = yes　domain master = yes　encrypt = yes　smb passwd file = /etc/samba/passwd　domain logons = yes　logon path = %nprofiles%u　logon drive = S:

這會將域名設置為 WORKS（也可以將其更改為其他名稱），并告知 Samba 要求使用用戶級別的安全性進行域登錄。就是這樣，user 對應于標準域身份驗證系統(tǒng)。之所以將其稱為用戶 (user)，是因為除了常規(guī)的域登錄名之外，域中的計算機還具有用戶帳戶。計算機需要通過域控制器的身份驗證，然后才會被視為可信系統(tǒng)，從而得以與域的其他部分進行交互。

您還需要設置域登錄并將 S: 驅(qū)動器（顯然是在 Windows 計算機上）的自動映射設置為 SERVERNAME%u（將 SERVERNAME 替換為您的 Samba 服務器的名稱）。%u 將替換為用戶的名稱，以便自動擴展為每個用戶的唯一共享名稱。logon path 設置用于漫游配置文件，以供移動工作站（如便攜式計算機）使用。

接下來，需要添加用于網(wǎng)絡登錄服務的 [netlogon] 部分，如下面的清單 2 中所示。

清單 2. [netlogon] 部分

[netlogon]　command = The domain logon service.　path = /home/netlogon　guest ok = yes　public = no　writable = no　share modes = no

如果尚不存在，則必須創(chuàng)建 [netlogon] 部分中指示的路徑，且所指向的位置應該為空。在身份驗證期間將要求使用此共享。

進行了這些更改后，需要添加計算機帳戶（以便域控制器知道并信任工作站）和用戶帳戶。

添加計算機帳戶

對于域控制器而言，計算機只是另一種類型的用戶而已，它需要具有自身的帳戶（但尾部帶有一個“$）。如果需要進一步隔離 Samba 用戶，則還應該為此類用戶創(chuàng)建一個新組。清單 3 顯示了如何在 Fedora Core 4 Linux 上使用 groupadd 命令進行此任務；其他 UNIX 系統(tǒng)具有用于添加新組和用戶的類似實用工具或詳細說明。

清單 3. 為 Samba 添加一個組和計算機帳戶

/usr/sbin/groupadd smbusersfor system in machine1 machine2 ; do/usr/sbin/useradd -g smbusers -d /dev/null -s /dev/null $machine$ ;smbpasswd -m -a $machine ;done

這將創(chuàng)建 smbusers 組，并隨后添加 machine1 和 machine2 的計算機帳戶。添加了每個用戶后，其帳戶詳細信息將添加到 Samba passWord 文件。

現(xiàn)在可以為常規(guī)用戶添加帳戶。

關于 Windows XP 計算機帳戶的一點說明

當首次從新添加的 Windows 計算機登錄到 Samba 服務器時，將需要使用 Samba 服務器的 root 密碼以 root 的身份登錄。這會在服務器上對計算機的帳戶進行身份驗證（將計算機添加到常規(guī) Windows 服務器域的域管理員可進行相同的操作，但將使用域管理員帳戶）。以后將不再需要進行此操作；在計算機經(jīng)過了身份驗證后，用戶可以使用任何有效帳戶登錄到 Samba 服務器。

添加用戶帳戶

添加用戶帳戶與添加計算機帳戶類似；如果用戶尚不存在于 Samba 服務器上，則需要創(chuàng)建該用戶，然后使用 smbpasswd 命令將該用戶添加到 Samba password 文件。以下代碼演示了如何在 Fedora Core 4 Linux 上使用 useradd 命令進行此任務；其他 UNIX 系統(tǒng)具有用于添加新用戶的類似實用工具或詳細說明。

/usr/sbin/useradd -g smbusers usernamesmbpasswd -a username

這會將 username 添加到系統(tǒng)和 Samba password 文件中。將會提示您設置 username 的密碼。請記住告知用戶您所設置的密碼！

重新啟動 Samba

由于已經(jīng)更改了 Samba 的配置，因此需要重新啟動兩個 Samba 后臺程序 smbd 和 nmbd，以便它們重新加載其配置文件。在 Fedora Core 4 上，將使用以下命令：

/etc/rc.d/init.d/smb restart

這將使用 smb init.d 腳本（在啟動計算機時，也用此腳本來啟動 Samba）來重新啟動服務器，如圖 2 中所示。

圖 2. Samba 正在重新啟動

如果您的 UNIX 不是 Fedora Core 4，可以始終使用 smbcontrol 命令來告知后臺程序重新加載其配置文件：

smbcontrol nmbd reload-configsmbcontrol smbd reload-config

共享目錄

現(xiàn)在已經(jīng)將 Samba 配置為域控制器，并向其告知了您網(wǎng)絡上的計算機和用戶的信息，接下來應設置一些有用的文件共享了。

至少，可以在服務器上提供相應的個人目錄和公共共享（經(jīng)過身份驗證的用戶可以在此存儲文件，以供任何人訪問）。還將設置一個完全開放的共享區(qū)域，任何人都可以在該區(qū)域存儲和檢索文件。

將清單 4 所示的 [homes] 部分添加到您的 smb.conf 文件，以在用戶登錄到 Samba 服務器時創(chuàng)建用戶的主目錄。此共享對其他用戶不可見（不可瀏覽），即使這些用戶經(jīng)過了服務器的身份驗證也不行。對于客戶端工作站，其主共享以 SERVERuser 形式提供，其中 SERVER 是 Samba 服務器的名稱，而 user 是其用戶 ID。作為有效列表使用的 %S 宏表示當前會話名稱，將為當前登錄用戶的名稱。

清單 4. 向用戶提供主目錄

[homes]comment = Home DirectorIEsvalid users = %Sread only = nobrowseable = no

接下來，您將添加 [public] 和 [shared] 部分，以分別創(chuàng)建 SERVERpublic 和 SERVERshared 共享目錄（和前面一樣，其中的 SERVER 為您的 Samba 服務器的名稱）。這兩個共享的設置幾乎完全相同，但有一點差異。對于 [public] 共享，只有 Samba 用戶組的成員（使用 %G 宏表示）才允許對該共享進行寫入操作。而任何人都可以對 [shared] 共享進行寫入操作（請參閱清單 5）。

清單 5. 兩個公共共享

[public]comment = Public filespublic = yesbrowseable = yeswrite list = %Gpath = /data/public[shared]comment = Totally open shared areapublic = yesbrowseable = yesread only = nopath = /data/shared

如果您信任訪問您的 Samba 服務器的人員，則應該像此處一樣，只創(chuàng)建一個完全開放的共享；例如，在過去，開放 FTP 服務器就被濫用作盜版軟件的集散地。

向 smb.conf 配置文件添加了這些共享后，請記得重新啟動 Samba 或告知它重新加載其配置文件（請參閱重新啟動 Samba 部分）。

更方便地進行訪問

現(xiàn)在應該能正常地為希望登錄到 Samba 服務器的系統(tǒng)和用戶提供服務了；不過，現(xiàn)在還希望通過 Web 瀏覽器提供訪問，以便任何人都能從您的公共共享中下載文件。將通過將共享添加到 Samba 服務器上運行的 Apache Web 服務器來實現(xiàn)此目標。

找到 httpd.conf 文件（我的這個文件位于 /etc/httpd/conf 中），并添加清單 6 中的代碼。這兩個聲明 <Alias> 和 <Directory> 將在服務器上創(chuàng)建 http://server/public/ 和 http://server/shared/，并打開目錄列表，以便從任何 Web 瀏覽器進行訪問。

清單 6. 提供對公共共享的 Web 訪問

Alias /public/ "/data/public/"<Directory "/data/public">Options Indexes MultiViewsAllowOverride NoneOrder allow,denyAllow from all</Directory*>Alias /shared/ "/data/shared/"<Directory "/data/shared">Options Indexes MultiViewsAllowOverride NoneOrder allow,denyAllow from all</Directory>

保存文件，并使用 apachectl 命令告知 Apache 重新加載其配置文件并激活新 URL。

/usr/sbin/apachectl restart

除了提供這些共享目錄方便的 Samba 訪問外，還可以供使用 Web 瀏覽器的任何人進行訪問。

總結(jié)

通過使用強大且具有良好支持的免費軟件（如 Samba 和 Apache），可以幫助進行 UNIX 服務器與 Windows 及 Mac OS X 客戶端工作站的集成。Samba 通過充當 PDC 來提供身份驗證服務。它能夠提供共享目錄，客戶端可以使用標準技術來方便地加載這些目錄。通過將 Apache 添加到混合環(huán)境中，還可以方便地提供對公共共享目錄未經(jīng)身份驗證的只讀訪問。共享資源是使用 LAN 環(huán)境的目的之一，如果能夠共享資源，可減少與安裝和配置網(wǎng)絡相關的工作量。