設定 Samba 伺服器

SUSE® Linux Enterprise Server 中的 Samba 伺服器可以兩種方式設定：使用 YaST 設定或手動設定。手動設定組態可以提供較詳細的設定，但是缺乏 YaST GUI 提供的方便性。

使用 YaST 設定 Samba 伺服器

若要設定 Samba 伺服器，請啟動 YaST 並選取網路服務+Samba 伺服器。

初始的 Samba 組態

第一次啟動模組時，系統會啟動Samba 安裝對話方塊，提示您對伺服器管理進行一些基本設定。組態設定結束時，還會提示您輸入 Samba 管理員密碼 (SAMBA 根使用者密碼)。之後啟動時，會顯示 Samba 伺服器組態對話方塊。

Samba 安裝對話方塊包含兩個步驟與一些選擇性的詳細設定：

工作群組或網域名稱: 在工作群組或網域名稱中選取現有的名稱，或輸入新的名稱，並按一下下一步。
Samba 伺服器類型: 在下一個步驟中，指定您的伺服器是否應做為 CD (PDC)，並按下一步。
啟動: 選擇您是要在開機時啟動 Samba 還是手動啟動，然後按一下確定。在最後的快顯方塊中，設定Samba root 密碼。

之後可在Samba 組態對話方塊的啟動、共享、身分、信任的網域與LDAP 設定索引標籤中變更所有設定。

進階 Samba 組態

第一次啟動 Samba 伺服器模組時，執行第 24.3.1.1 節「初始的 Samba 組態」中所述的兩個初始步驟後，Samba 組態對話方塊會直接顯示。用此調整您的 Samba 伺服器組態。

編輯組態後，按一下確定儲存設定。

啟動伺服器

在啟動索引標籤中，設定 Samba 伺服器的啟動。若每次系統開機時都要啟動服務，請選取開機時。若要啟用手動啟動，請選擇手動。如需有關啟動 Samba 伺服器的詳細資訊，請參閱第 24.2 節「啟動和停止 Samba」。

在此索引標籤中，您也可以開啟您的防火牆中的連接埠。若要執行此動作，請選取開啟防火牆中的連接埠。如果您有多個網路介面，請按一下防火牆詳細資訊，選取介面，並按一下確定來選取 Samba 服務的網路介面。

共享

在共享索引標籤中，決定要啟用的 Samba 共享。標籤中有一些預先定義的共同，如 home 和 printer。使用切換狀態以切換作用中與非作用中。按一下新增可新增新的共享，按一下刪除可刪除選取的共享。

允許使用者共享自己的目錄讓許可的群組中的群組成員能與其他使用者共享自己的目錄。例如：users 針對本地範圍，DOMAIN\Users 針對網域範圍。使用者還必須確定檔案系統的許可權允許存取。請使用最多共享數限制可建立的共享總數。若要允許在沒有驗證的情況下存取使用者共享，請啟用允許訪客存取。

識別

在身分索引標籤中，您可以決定主機關聯的網域 (基本設定)，以及是否要在網路中使用替代的主機名稱 (NetBIOS 主機名稱)。也可以使用 Microsoft Windows 網際網路名稱服務 (WINS) 進行名稱解析。在這種情況下，請啟用使用 WINS 解析主機名稱，並決定是否透過 DHCP 取回 WINS 伺服器。若要設定進階全域設定或使用者驗證來源 (例如 LDAP 而非 TDB 資料庫)，請按一下進階設定。

信任的網域

若要讓其他網域的使用者存取您的網域，請在信任的網域索引標籤中進行適當的設定。若要新增網域，請按一下新增。若要移除所選網域，請按一下移除。

LDAP 設定

在索引標籤LDAP 設定中，您可決定 LDAP 伺服器是否使用驗證。若要測試 LDAP 伺服器的連線，請按一下測試連線。若要查看進階 LDAP 設定或使用者預設值，請按一下進階設定。

如需 LDAP 組態的詳細資訊，請參閱第 4 章「LDAP—A Directory Service」 (↑Security Guide)。

使用 SWAT 管理網頁

另一種管理 Samba 伺服器的工具是 SWAT (Samba Web Administration Tool，Samba 網頁管理工具)。它提供簡單的網頁介面，以用於設定 Samba 伺服器。若要使用 SWAT，請在網頁瀏覽器中開啟 http://localhost:901，並以 root 使用者的身分登入。如果您沒有特殊的 Samba root 帳戶，請使用系統的 root 帳戶。

	啟用 SWAT
安裝 Samba 伺服器後，並不會啟用 SWAT。若要啟用 SWAT，請在 YaST 中開啟網路服務+網路服務 (xinetd)，啟用網路服務組態，選取表格中的 swat，並按一下切換狀態 (開啟或關閉)。

手動設定伺服器

如果您想要使用 Samba 做為伺服器，請安裝 samba。Samba 的主要組態檔為 /etc/samba/smb.conf。這個檔案可以分成兩個邏輯部份。[global] 區段包含中央與全域設定值。[share] 區段包含個別檔案與印表機共享。利用此方法，就可以在 [global] 區段中以不同的方式或以全域方式設定關於共享的細節，它可以加強組態檔的結構透明化。

全域區段

下列 [global] 區段的參數需要做一些調整，以符合網路設定的需求，讓其他機器可以透過 Windows 環境中的 SMB 存取 Samba 伺服器。

workgroup = TUX-NET

這一行是將 Samba 伺服器指定給工作群組。以網路環境中適當的工作群組取代 TUX-NET。Samba 伺服器會以其 DNS 名稱顯示，除非此名稱已指定給網路中的其他機器。如果沒有可用的 DNS 名稱，請使用 netbiosname=MYNAME 設定伺服器名稱。如需更多有關此參數的詳細資料，請參閱 smb.conf man 頁面。

os level = 20

此參數會觸發 Samba 伺服器是否嘗試變成其工作群組的 LMB (本地主要的瀏覽器)。對於 Samba 3 版本系列，通常不需要覆寫預設設定 (20)。選擇一個極小值 (例如 2) 可以讓現有的 Winodws 網路免受因 Samba 伺服器設定不當而造成的任何干擾。有關此重要主題的詳細資訊，可參閱《Samba 3 Howto》中的「Network Browsing」(網路瀏覽) 一章；如需有關《Samba 3 Howto》的詳細資訊，請參閱第 24.7 節「如需更多資訊」。

如果網路中沒有其他的 SMB 伺服器 (例如，Windows 2000 伺服器)，而且您希望 Samba 伺服器保留本地環境中存在的所有系統的清單，請將 os level 設成更高的值 (例如，65)。接著就會將 Samba 伺服器選擇成本地網路的 LMB。

當變更此設定值時，請小心地考慮這個值將會如何影響現有的 Windows 網路環境。首先請在獨立的網路中或在一天中非重要的時間測試變更。

wins support 與 wins server

若要將 Samba 伺服器整合至含有主動 WINS 伺服器的現有 Windows 網路中，請啟用 wins server 選項，並將其值設為該 WINS 伺服器的 IP 位址。

如果您的數台 Windows 機器連接至不同的子網路，但仍然需要看到彼此，則您需要設定 WINS 伺服器。若要將 Samba 伺服器變成像這樣的 WINS 伺服器，請設定 wins support = Yes 選項。請確定網路中只有一個 Samba 伺服器啟用了這個設定值。wins server 與 wins support 選項絕不能在 smb.conf 檔案中同時啟用。

共享

下列範例說明如何將 CD-ROM 光碟機與使用者目錄 (homes) 開放給 SMB 用戶端使用。

[cdrom]

若要避免不小心將 CD-ROM 光碟機開放成共享，請以備註符號停用這些行 (在此例中為分號)。請在第一個資料欄中移除分號，以便和 Samba 共享 CD-ROM 光碟機。

範例 24.1. CD-ROM 共享(已停用)

;[cdrom]
;       comment = Linux CD-ROM
;       path = /media/cdrom
;       locking = No

[cdrom] and comment: [cdrom] 區段項目是網路上所有 SMB 用戶端都可以看到之共享的名稱。可以另外再加入一個 comment，以進一步描述共享。
path = /media/cdrom: path 會輸出 /media/cdrom 目錄。

利用限制非常嚴格的預設組態，就可以將這種共享只開放給出現在此系統上的使用者共享。如果這個共享應該開放每個人使用，請將 guest ok = yes 加入組態。這個設定值可以將讀取權限開放給網路上的每個人使用。建議您處理此參數時必須極為小心。這將會在 [global] 區段中套用更多此參數的使用。

[homes]

[homes] 共享在這裡特別重要。如果使用者擁有 Linux 檔案伺服器以及其自己主目錄的有效帳戶與密碼，就可以連接到主目錄。

範例 24.2. [homes] 共享

[homes]
	comment = Home Directories
	valid users = %S
	browseable = No
	read only = No
	create mask = 0640
	directory mask = 0750

[homes]: 只要沒有其他的共享，使用共享的使用者名稱連接至 SMB 伺服器，就會使用 [homes] 共享指示來動態產生共享。共享的產生名稱是使用者名稱。
valid users = %S: 只要成功地建立連接，就會以共享的具體名稱取代 %S。[homes] 共享，永遠為使用者名稱。因此，對使用者共享的存取權限僅限於該使用者。
browseable = No: 這個設定值讓共享在網路環境變成無形的。
read only = No: 根據預設，Samba 會利用 read only = Yes 參數，以禁止寫入任何輸出共享的權限。若要開放共享為可寫入的，請設定 read only = No 的值，這與 writable = Yes 同義。
create mask = 0640: 以 MS Windows NT 為基礎的系統將無法理解 UNIX 權限的概念，因此在建立檔案時，它們將無法指定權限。create mask 參數可以定義指定給新建立檔案的存取權限。這只會套用至可寫入的共享。實際上，這個設定值表示擁有者具有讀取與寫入權限，而擁有者的主要群組成員則具有讀取權限。valid users = %S 可以在即使群組具有讀取權限時禁止讀取權限。若想要使群組具有讀取或寫入權限，請停用 valid users = %S 一行。

安全性層級

為了提高安全性，每個共享存取權都以密碼保護。SMB 提供下列幾種權限檢查方式︰

共享層級安全性 (安全性 = 共享): 每個共享都必須指定密碼。每個知道此密碼的人員都具有該共享的存取權。
使用者層級安全性 (安全性 = 使用者): 此變體在 SMB 中引入了使用者概念。每個使用者都必須以自己的密碼註冊伺服器。在註冊後，伺服器可以視使用者名稱將存取權授予個別輸出的共享。
伺服器層級安全性 (安全性 = 伺服器): 對其用戶端而言，Samba 會模擬在使用者層級模式中工作。不過，它會將所有的密碼查詢傳遞給另一個將會處理驗證的使用者層級模式伺服器。此設定需要用到另一個密碼伺服器參數。
ADS 層級安全性 (安全性·= ADS): 在這種模式下，Samba 在 Active Directory 環境中以網域成員的身分執行。要以此模式作業，執行 Samba 的機器需要安裝與設定 Kerberos。您必須讓使用 Samba 的機器加入 ADS 領域。可使用 YaST 的Windows 網域成員模組完成此操作。
網域層級安全性 (安全性 = 網域): 僅在機器已加入到 Windows NT 網域時，此模式才會正常工作。Samba 將嘗試驗證使用者名稱與密碼，方法是將其傳送至 Windows NT 主網域或備份網域控制器。這與 Windows NT 伺服器用來驗證的方法相同。需要將加密密碼參數設定為 yes。

共享、使用者、伺服器或網域層級安全性的選項會套用至整部伺服器。因為無法針對伺服器組態的個別共享提供共享層級的安全性，並針對其他的共享提供使用者層級的安全性。然而，您可以針對系統上每個設定的 IP 位址執行個別的 Samba 伺服器。

在《Samba 3 HOWTO》中可以找到關於此主題的詳細資訊。至於在一個系統上的多個伺服器，請注意 interfaces 與 bind interfaces only 選項。