引言

傳統(tǒng)上，將 Unix® 系統(tǒng)作為中央服務(wù)器，用于存儲文件以及將文件提供給客戶端工作站。UNIX 的強(qiáng)大網(wǎng)絡(luò)功能和安全攻擊的快速響應(yīng)能力使它非常適合擔(dān)當(dāng)這個角色，但由于工具、服務(wù)器應(yīng)用程序、客戶端選項過多，即使在小型局域網(wǎng)（Local Area Network，LAN）上為各種客戶端系統(tǒng)的混合環(huán)境提供良好服務(wù)，系統(tǒng)設(shè)置和配置也非常麻煩。

運行 Microsoft® Windows® 和 Apple 的 Mac OS X 的最流行的臺式計算機(jī)工作站和便攜式計算機(jī)可以方便地與 Windows 服務(wù)器進(jìn)行通信，而不要求使用任何額外的軟件或配置。它們對 Server Message Block (SMB) 或 Common Internet Filesystem (CIFS) 網(wǎng)絡(luò)的支持通常稱為 Windows 網(wǎng)絡(luò)，從而使其成為自然而然的選擇。幸運的是，SMB 或 CIFS 有免費的 UNIX 實現(xiàn)可用，稱為 Samba。

Samba 實現(xiàn)了很多有用的文件（和打印）共享功能，如公共共享和按用戶共享，甚至可以在小型網(wǎng)絡(luò)上充當(dāng) Windows 主域控制器（primary domain controller，PDC）。為了提供另一種共享公共文件的方法，您將使用簡單的 Apache Web 服務(wù)器設(shè)置來對此進(jìn)行增強(qiáng)。

開始之前

如果您希望按本文所述進(jìn)行操作，您將需要進(jìn)行一些準(zhǔn)備工作。此處所使用的所有工具都是開放源代碼，是免費提供的。

Samba 是 SMB 或 CIFS 文件和打印共享與網(wǎng)絡(luò)身份驗證的開發(fā)源代碼實現(xiàn)，Microsoft 的 Windows 和各種其他操作系統(tǒng)（包括 OS/2® 和 Mac OS X）使用的就是此類系統(tǒng)。此實現(xiàn)通常用于 Linux® 系統(tǒng)，安裝在其他 UNIX 系統(tǒng)上的可能性較小。如果尚未獲得此實現(xiàn)，請訪問 Samba 網(wǎng)站（請參閱參考資料），以獲取相關(guān)代碼并進(jìn)行安裝。

Apache 是全球最流行的 Web 服務(wù)器，如果您使用的是流行的 Linux 分發(fā)，則可能已經(jīng)將其安裝并在運行。如果您未安裝 Apache 并運行，請前往 Apache Software Foundation 網(wǎng)站（請參閱參考資料）進(jìn)行下載并安裝運行。您將使用 Apache 來提供對稍后將設(shè)置的公共文件存儲區(qū)域的匿名訪問。

UNIX 服務(wù)器、臺式計算機(jī)客戶端

最簡單的小型網(wǎng)絡(luò)莫過于通過路由器或交換機(jī)（大部分家庭網(wǎng)絡(luò)路由器都在設(shè)備中包含了至少四個交換端口）連接的一臺服務(wù)器和一臺客戶端工作站。這可能隨時間增長而擴(kuò)大，通常的擴(kuò)展方法是添加更多的客戶端和在服務(wù)器上添加存儲空間。可以在下面的圖 1 中看到此類網(wǎng)絡(luò)。

圖 1. 簡單的小型網(wǎng)絡(luò)

在此設(shè)置中，服務(wù)器充當(dāng)用于共享文件、備份（可能包括打印機(jī)共享）的中央位置。客戶端會根據(jù)情況與服務(wù)器及其他客戶端進(jìn)行通信。

為了讓此過程平穩(wěn)地進(jìn)行，應(yīng)使用服務(wù)器進(jìn)行單一的身份驗證，以便在客戶端經(jīng)過身份驗證后與其共享公共文件區(qū)域和各個用戶的私有文件區(qū)域，甚至可以考慮為未經(jīng)過身份驗證的客戶端提供對公共文件的匿名訪問。最后一個功能非常不錯，可用于您的朋友在不要求使用服務(wù)器帳戶的情況下使用其計算機(jī)訪問您的網(wǎng)絡(luò)。

以下各個部分將演示在 UNIX 系統(tǒng)上使用 Samba 和 Apache 實現(xiàn)所有這些功能的方法。

服務(wù)器身份驗證

為了讓您的客戶端工作站使用 UNIX 服務(wù)器進(jìn)行身份驗證，您需要將 Samba 設(shè)置為 PDC。這樣就提供了進(jìn)行身份驗證的中央位置，且能與 Windows XP Professional 和 Mac OS X 客戶端良好地配合，而無需進(jìn)行其他工作。Windows XP Home 不支持域，如果您在 LAN 上使用 XP Home，則必須使用另一種身份驗證技術(shù)。

將 Samba 配置為域控制器

作為 root 登錄后，找到 smb.conf 文件（通常位于 /etc/samba 中）并使用您習(xí)慣使用的文本編輯器對其進(jìn)行編輯。請注意，如果愿意，還可以使用 sudo 以 root 的身份編輯該文件（在本文中，我將假定您已作為 root 登錄；如果不是，請在本文給出的任何命令前鍵入 sudo，以作為 root 而不是目前的身份進(jìn)行運行）。

找到 smb.conf 文件的 [global] 部分，并添加以下選項；如果已經(jīng)有了這些選項，請對其進(jìn)行更改，以與在清單 1 中所示的匹配。

清單 1. 添加到 Samba 的 [global] 部分的配置數(shù)據(jù)

[global]　workgroup = WORKS　domain logons = yes　security = user　local master = yes　os level = 65　preferred master = yes　domain master = yes　encrypt = yes　smb passwd file = /etc/samba/passwd　domain logons = yes　logon path = %nprofiles%u　logon drive = S:

這會將域名設(shè)置為 WORKS（也可以將其更改為其他名稱），并告知 Samba 要求使用用戶級別的安全性進(jìn)行域登錄。就是這樣，user 對應(yīng)于標(biāo)準(zhǔn)域身份驗證系統(tǒng)。之所以將其稱為用戶 (user)，是因為除了常規(guī)的域登錄名之外，域中的計算機(jī)還具有用戶帳戶。計算機(jī)需要通過域控制器的身份驗證，然后才會被視為可信系統(tǒng)，從而得以與域的其他部分進(jìn)行交互。

您還需要設(shè)置域登錄并將 S: 驅(qū)動器（顯然是在 Windows 計算機(jī)上）的自動映射設(shè)置為 SERVERNAME%u（將 SERVERNAME 替換為您的 Samba 服務(wù)器的名稱）。%u 將替換為用戶的名稱，以便自動擴(kuò)展為每個用戶的唯一共享名稱。logon path 設(shè)置用于漫游配置文件，以供移動工作站（如便攜式計算機(jī)）使用。

接下來，需要添加用于網(wǎng)絡(luò)登錄服務(wù)的 [netlogon] 部分，如下面的清單 2 中所示。

清單 2. [netlogon] 部分

[netlogon]　command = The domain logon service.　path = /home/netlogon　guest ok = yes　public = no　writable = no　share modes = no

如果尚不存在，則必須創(chuàng)建 [netlogon] 部分中指示的路徑，且所指向的位置應(yīng)該為空。在身份驗證期間將要求使用此共享。

進(jìn)行了這些更改后，需要添加計算機(jī)帳戶（以便域控制器知道并信任工作站）和用戶帳戶。

添加計算機(jī)帳戶

對于域控制器而言，計算機(jī)只是另一種類型的用戶而已，它需要具有自身的帳戶（但尾部帶有一個“$）。如果需要進(jìn)一步隔離 Samba 用戶，則還應(yīng)該為此類用戶創(chuàng)建一個新組。清單 3 顯示了如何在 Fedora Core 4 Linux 上使用 groupadd 命令進(jìn)行此任務(wù)；其他 UNIX 系統(tǒng)具有用于添加新組和用戶的類似實用工具或詳細(xì)說明。

清單 3. 為 Samba 添加一個組和計算機(jī)帳戶

/usr/sbin/groupadd smbusersfor system in machine1 machine2 ; do/usr/sbin/useradd -g smbusers -d /dev/null -s /dev/null $machine$ ;smbpasswd -m -a $machine ;done

這將創(chuàng)建 smbusers 組，并隨后添加 machine1 和 machine2 的計算機(jī)帳戶。添加了每個用戶后，其帳戶詳細(xì)信息將添加到 Samba passWord 文件。

現(xiàn)在可以為常規(guī)用戶添加帳戶。

關(guān)于 Windows XP 計算機(jī)帳戶的一點說明

當(dāng)首次從新添加的 Windows 計算機(jī)登錄到 Samba 服務(wù)器時，將需要使用 Samba 服務(wù)器的 root 密碼以 root 的身份登錄。這會在服務(wù)器上對計算機(jī)的帳戶進(jìn)行身份驗證（將計算機(jī)添加到常規(guī) Windows 服務(wù)器域的域管理員可進(jìn)行相同的操作，但將使用域管理員帳戶）。以后將不再需要進(jìn)行此操作；在計算機(jī)經(jīng)過了身份驗證后，用戶可以使用任何有效帳戶登錄到 Samba 服務(wù)器。

添加用戶帳戶

添加用戶帳戶與添加計算機(jī)帳戶類似；如果用戶尚不存在于 Samba 服務(wù)器上，則需要創(chuàng)建該用戶，然后使用 smbpasswd 命令將該用戶添加到 Samba password 文件。以下代碼演示了如何在 Fedora Core 4 Linux 上使用 useradd 命令進(jìn)行此任務(wù)；其他 UNIX 系統(tǒng)具有用于添加新用戶的類似實用工具或詳細(xì)說明。

/usr/sbin/useradd -g smbusers usernamesmbpasswd -a username

這會將 username 添加到系統(tǒng)和 Samba password 文件中。將會提示您設(shè)置 username 的密碼。請記住告知用戶您所設(shè)置的密碼！

重新啟動 Samba

由于已經(jīng)更改了 Samba 的配置，因此需要重新啟動兩個 Samba 后臺程序 smbd 和 nmbd，以便它們重新加載其配置文件。在 Fedora Core 4 上，將使用以下命令：

/etc/rc.d/init.d/smb restart

這將使用 smb init.d 腳本（在啟動計算機(jī)時，也用此腳本來啟動 Samba）來重新啟動服務(wù)器，如圖 2 中所示。

圖 2. Samba 正在重新啟動

如果您的 UNIX 不是 Fedora Core 4，可以始終使用 smbcontrol 命令來告知后臺程序重新加載其配置文件：

smbcontrol nmbd reload-configsmbcontrol smbd reload-config

共享目錄

現(xiàn)在已經(jīng)將 Samba 配置為域控制器，并向其告知了您網(wǎng)絡(luò)上的計算機(jī)和用戶的信息，接下來應(yīng)設(shè)置一些有用的文件共享了。

至少，可以在服務(wù)器上提供相應(yīng)的個人目錄和公共共享（經(jīng)過身份驗證的用戶可以在此存儲文件，以供任何人訪問）。還將設(shè)置一個完全開放的共享區(qū)域，任何人都可以在該區(qū)域存儲和檢索文件。

將清單 4 所示的 [homes] 部分添加到您的 smb.conf 文件，以在用戶登錄到 Samba 服務(wù)器時創(chuàng)建用戶的主目錄。此共享對其他用戶不可見（不可瀏覽），即使這些用戶經(jīng)過了服務(wù)器的身份驗證也不行。對于客戶端工作站，其主共享以 SERVERuser 形式提供，其中 SERVER 是 Samba 服務(wù)器的名稱，而 user 是其用戶 ID。作為有效列表使用的 %S 宏表示當(dāng)前會話名稱，將為當(dāng)前登錄用戶的名稱。

清單 4. 向用戶提供主目錄

[homes]comment = Home DirectorIEsvalid users = %Sread only = nobrowseable = no

接下來，您將添加 [public] 和 [shared] 部分，以分別創(chuàng)建 SERVERpublic 和 SERVERshared 共享目錄（和前面一樣，其中的 SERVER 為您的 Samba 服務(wù)器的名稱）。這兩個共享的設(shè)置幾乎完全相同，但有一點差異。對于 [public] 共享，只有 Samba 用戶組的成員（使用 %G 宏表示）才允許對該共享進(jìn)行寫入操作。而任何人都可以對 [shared] 共享進(jìn)行寫入操作（請參閱清單 5）。

清單 5. 兩個公共共享

[public]comment = Public filespublic = yesbrowseable = yeswrite list = %Gpath = /data/public[shared]comment = Totally open shared areapublic = yesbrowseable = yesread only = nopath = /data/shared

如果您信任訪問您的 Samba 服務(wù)器的人員，則應(yīng)該像此處一樣，只創(chuàng)建一個完全開放的共享；例如，在過去，開放 FTP 服務(wù)器就被濫用作盜版軟件的集散地。

向 smb.conf 配置文件添加了這些共享后，請記得重新啟動 Samba 或告知它重新加載其配置文件（請參閱重新啟動 Samba 部分）。

更方便地進(jìn)行訪問

現(xiàn)在應(yīng)該能正常地為希望登錄到 Samba 服務(wù)器的系統(tǒng)和用戶提供服務(wù)了；不過，現(xiàn)在還希望通過 Web 瀏覽器提供訪問，以便任何人都能從您的公共共享中下載文件。將通過將共享添加到 Samba 服務(wù)器上運行的 Apache Web 服務(wù)器來實現(xiàn)此目標(biāo)。

找到 httpd.conf 文件（我的這個文件位于 /etc/httpd/conf 中），并添加清單 6 中的代碼。這兩個聲明 <Alias> 和 <Directory> 將在服務(wù)器上創(chuàng)建 http://server/public/ 和 http://server/shared/，并打開目錄列表，以便從任何 Web 瀏覽器進(jìn)行訪問。

清單 6. 提供對公共共享的 Web 訪問

Alias /public/ "/data/public/"<Directory "/data/public">Options Indexes MultiViewsAllowOverride NoneOrder allow,denyAllow from all</Directory*>Alias /shared/ "/data/shared/"<Directory "/data/shared">Options Indexes MultiViewsAllowOverride NoneOrder allow,denyAllow from all</Directory>

保存文件，并使用 apachectl 命令告知 Apache 重新加載其配置文件并激活新 URL。

/usr/sbin/apachectl restart

除了提供這些共享目錄方便的 Samba 訪問外，還可以供使用 Web 瀏覽器的任何人進(jìn)行訪問。

總結(jié)

通過使用強(qiáng)大且具有良好支持的免費軟件（如 Samba 和 Apache），可以幫助進(jìn)行 UNIX 服務(wù)器與 Windows 及 Mac OS X 客戶端工作站的集成。Samba 通過充當(dāng) PDC 來提供身份驗證服務(wù)。它能夠提供共享目錄，客戶端可以使用標(biāo)準(zhǔn)技術(shù)來方便地加載這些目錄。通過將 Apache 添加到混合環(huán)境中，還可以方便地提供對公共共享目錄未經(jīng)身份驗證的只讀訪問。共享資源是使用 LAN 環(huán)境的目的之一，如果能夠共享資源，可減少與安裝和配置網(wǎng)絡(luò)相關(guān)的工作量。