访问控制(1)
在6.3.3节中主要是针对某些特定用户使用共享资源权限的控制,其管理主体为用户。如果需要针对主机进行控制,方法也比较多,可以使用IPTables(具体见第17章),也可以使用Samba服务自身的控制。其实Samba所提供的访问控制功能已经非常强大。Samba的访问控制通过hosts
allow(配置允许访问的客户端)、hosts deny(配置拒绝访问的客户端)两个参数实现。
在Samba中使用hosts allow、hosts
deny参数时,该参数可以出现在全局配置部分(如图6-31所示),用于允许或拒绝可连接到Samba服务器的客户端,也可以出现在具体的共享资源配置中(如图6-32所示)用于允许或拒绝可访问该资源的客户端。如果在全局配置部分的hosts
allow、hosts
deny与具体共享资源的配置发生冲突时会怎么样呢?通过Samba的工作过程不难看出Samba客户端首先要可以连接到Samba服务器,才能访问其共享资源,所有全局配置部分的hosts
allow、hosts deny优先级与具体共享资源的配置发生冲突时使用以下规则。
(1)全局配置中hosts deny指定客户端,此时无法访问Samba服务器任何共享资源。
(2)全局配置中hosts allow指定客户端,分以下几种情况。
①:如具体共享资源中只指定了hosts deny且与全局配置不冲突时,客户端可以访问具体共享资源。
②:如具体共享资源中只指定了hosts allow且是全局配置的子集时,只有具体共享资源中指定的客户端可以访问。
③:如具体共享资源中即指定了hosts allow又指定了hosts deny时,首先根据hosts allow与hosts
deny生效规则得出具体共享资源允许或拒绝的客户端,再根据上面两条规则得出最终的结果。
如果全局配置内或具体共享资源内的hosts allow与hosts deny发生冲突时会使用以下规则。
(1)如果hosts deny与hosts allow发生冲突时,hosts allow优先。
(2)如果只有hosts allow,除了hosts allow中指定的客户端外其他所有客户端都不能访问。
(3)如果只有hosts deny,除了hosts deny中指定的客户端外其他所有客户都可以访问。
1.使用IP地址控制
在hosts allow及hosts deny时,可通过使用IP地址精确允许或拒绝特定客户端访问Samba服务器,下面看几个例子。
(1)不允许IP地址为192.168.0.20的客户端访问Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test hosts deny = 192.168.0.20
(2)只允许IP地址为192.168.0.25的客户端访Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test hosts allow = 192.168.0.20
(3)下面的例子中,IP地址为192.168.0.99的客户端可以访问Samba服务器上的smbtest目录吗?当然是允许访问,为什么呢?因为在Samba中hosts
allow比hosts deny优先级要高。
[smbtest] comment = This is smb test path = /test hosts allow = 192.168.0.99 hosts deny = 192.168.0.99
2.使用网段控制
在hosts allow及hosts
deny时,可通过使用子网允许或拒绝特定客户端访问Samba服务器,在表示子网时可以使用192.168.0./24、192.168.0.或192.168.0.0/255.255.255.0表示192.168.0.0子网掩码24位子网。下面看几个例子。
(1)不允许192.168.0.0/24所有客户端访问Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test hosts deny = 192.168.0.
(2)只允许192.168.0.0/24所有客户端访Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test hosts allow = 192.168.0.
(3)不允许192.168.0.0/24但不包括192.168.0.99的客户端访问Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test hosts deny = 192.168.0. hosts allow = 192.168.0.99
(4)只允许192.168.0.0/24但不包括192.168.0.99的客户端访问Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test # EXCEPT参数表示不包括。 hosts allow = 192.168.0. EXCEPT 192.168.0.99
访问控制(2)
3.使用域名控制
在hosts allow及hosts
deny时,可通过使用域名允许或拒绝特定客户端访问Samba服务器,在表示域名时可以使用FQDN表示某个具体的客户端或用域名表示某个域的所有客户端。下面看几个例子。
(1)不允许FQDN为client1.example.com的客户端访问Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test hosts deny = client1.example.com. (2)只允许example.com域的所有客户端访
(2)只允许example.com域的所有客户端访问Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test hosts deny =.example.com
(3)不允许example.com区域但不包括192.168.0.99的客户端访问Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test hosts deny = .example.com hosts allow = 192.168.0.99
(4)只允许example.com但不包括IP地址为192.168.0.99的客户端访问Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test hosts allow = .example.com EXCEPT 192.168.0.99
4.使用通配符控制
在hosts allow及hosts
deny时,可通过使用通配符代表特定客户端集。可以使用的通配符主要有:ALL表示所有客户端,*表示任何个字符,?表示一个字符,LOCAL表示本地计算机。下面看几个例子。
(1)拒绝除了192.168.0.99及192.168.0.100以外的所有客户端访问Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test hosts deny = ALL #多个匹配条件区用空格分隔。 hosts allow = 192.168.0.99 192.168.0.100
(2)除了192.168.0.0/24网段的客户端(不包括192.168.0.99)以外拒绝所有客户端访问Samba服务器上smbtest目录。
[smbtest] comment = This is smb test path = /test hosts deny = ALL hosts allow = 192.168.0. EXCEPT 192.168.0.99
对于使用hosts allow及hosts
deny的各种形式,看一个综合例子:只允许192.168.0.0/24、192.168.1.0/24及192.168.2.0/24连接到Samba服务器,只允许.example.com域,但不包括192.168.0.99的客户端访问名为smbtest的共享目录,只允许192.168.1.0/24的客户端访问名为smbtest1的共享。
(1)在[global]标签下加入如下参数。
[global] hosts allow = lo 192.168.0. 192.168.1. 192.168.2. (2)在具体共享资源中加入如下参数。
(2)在具体共享资源中加入如下参数。
[smbtest] comment = This is smb test path = /test hosts allow = .example.com EXCEPT 192.168.0.99 [smbtest1] comment = This is smb test1 path = /test1 hosts allow = 192.168.1.
参考: http://book.51cto.com/art/201108/282445.htm