域共享的安全性（对共享访问限制综述）

使用以下参数来限制通过主机地址访问：，我来为大家科普一下关于域共享的安全性?以下内容希望对你有帮助!

域共享的安全性

3.17 对共享访问限制综述1．通过主机地址

使用以下参数来限制通过主机地址访问：

allow hosts

hosts allow

deny hosts

hosts deny

"allow hosts"、" hosts

allow"这两个功能相同的参数指定允许访问一个服务的主机列表，主机列表用"，"号、空格或制表符隔开。如用于[global]段，则应用于所有服务，而忽略在每个服务中的各自的设置。主机列表的组成可以是主机名、IP地址、子网地址或网络号码/掩码。也可以是“quot;EXCEPT”关键字来限制子网中的个别主机的访问。例如：

hosts allow = 202.204. 3 EXCEPT 202.204.3.30

允许在202.204.3子网上的主机访问，但禁止其中的202.204.3.30访问。

"deny hosts"、" hosts deny"这两个功能相同的参数指定禁止访问某个服务的主机列表，与"allow hosts"相反。当与"allow hosts"列表冲突时，"allow hosts"列表优先。

2．通过用户口令

使用以下参数来限制通过用户口令访问：

Security

参数security可以确定对客户用户名/口令的验证方式。缺省为"user"，即对Samba服务器的任何访问都要通过用户名/口令的验证。如果客户登录客户机，如Windows 所用的用户名与Samba服务器上的UNIX用户名一致，则通过口令验证后就可以访问；如Windows 所用的口令也与UNIX一样，那么不经任何提示就可以访问。

但如果客户机上登录的用户名与Samba服务器上的UNIX用户名不一致，则需要在一个映射文件中（如/etc/smbusers）写入客户机用户名到UNIX用户名的映射，同时使用"username map"参数指定映射文件，例如：

username map = /ect/smbusers

在/etc/smbusers文件中的内容如下：

cuckoo = "cuckoo doo"

这样，在客户机上以"cuckoo

doo"注册后，再与Samba服务器连接时，输入UNIX客户cuckoo的口令就可以进入，因为Samba已经把"cuckoo doo"映射为cuckoo。

security参数的另一个值是"share"，表示Samba服务器不需要客户机使用用户名/口令来登录，而是根据每个共享的设置来决定是否需要用户名/口令验证。设置security为share一般用于客户机上大多数用户名与Samba服务器上UNIX用户名不相同的情况，以及Samba服务器主要提供guest访问。

在smb.conf文件中，如果没有设置"encrypt passwords"，Samba将使用UNIX的password数据库来验证用户口令。这需要客户机将口令以"普通文件"的方式传递过来。如果设置了"encrypt passwords"，Samba则使用另一个加密口令文件，通过"smb passwd file"来设置，例如：

encrypt passwords = yes

smb passwd file = /etc/smbpasswd

2．通过用户名

Public

guest ok

上面的两个参数的功能相同，都可以使用相应的服务允许guest用户，即不需要用户名/口令验证。如果还指定了"guest only"，那么相应的服务器只允许由guest用户来访问。

invalid users

valid users

这两个参数分别设置不允许注册某个服务和允许注册某个服务的用户列表。一个用户同时出现在两个列表中的时候，不允许注册优先。列表中的用户名可以用空格隔开，以"@"开头的名字被认为是NIS 组名或UNIX组名；以" "开头的名字被认为是UNIX组名；以"&"开头的名字只被认为是NIS组名。

　S userss= /etc/smbpasswdonly user

此参数控制是否只允许在"user ="列表中指定的用户访问某个服务。如果设置为true，则只有在"user ="列表中的用户才能访问。

3．通过是否可以读写来控制