# 16.1 什么是 SAMBA ## 16.1 什么是 SAMBA 在这个章节中，我们要教大家跳的是热情有劲的巴西 SAMBA 舞蹈... 喔不～搞错了～是要向大家介绍 SAMBA 这个好用的服务器啦！咦！怪了！ 怎么服务器的名称会使用 SAMBA 呢？还真是怪怪的呢！那么这个 SAMBA 服务器的功能是什么呢？另外， 它最早是经由什么样的想法而开发出来的呢？底下就让我们慢慢的谈一谈吧！ - - - - - - ### 16.1.1 SAMBA 的发展历史与名称的由来 在早期的网络世界当中，档案数据在不同主机之间的传输大多是使用 [FTP](http://linux.vbird.org/linux_server/0410vsftpd.php) 这个好用的服务器软件来进行传送。不过使用 FTP 传输档案却有个小小的问题， 那就是你无法直接修改主机上面的档案数据！也就是说，你想要更改 Linux 主机上面的某个档案时，你必须要将该档案自服务器下载后才能修改。 也因此该档案在服务器与客户端都会存在。这个时候，万一如果有一天你修改了某个档案， 却忘记将数据上传回主机，那么等过了一阵子之后，呵呵，你如何知道那个档案才是最新的？ - 让档案在两部主机之间直接修改： NFS 与 CIFS 既然有这样的问题，那么好吧，我可不可以在客户端的机器上面直接使用服务器上面的档案， 如果可以在客户端直接进行服务器端档案的存取，那么我在客户端就不需要存在该档案数据啰，也就是说， 我只要有 Server 上面的档案资料存在就可以啦！有没有这样的文件系统啊！ 很高兴的是，[第十三章的 NFS](http://linux.vbird.org/linux_server/0330nfs.php) 就是这样的文件系统之一啦！我只要在客户端将 Server 所提供分享的目录挂载进来， 那么在客户端的机器上面就可以直接取用 Server 上的档案资料啰，而且， 该数据就像是我客户端上面的 partition 一般，真是好用！ 而除了可以让 Unix Like 的机器互相分享档案的 NFS 服务器之外，在微软 (Microsoft) 操作系统上面也有类似的文件系统，那就是 Common Internet File System, CIFS 这个咚咚啦！CIFS 最简单的想法就是目前常见的『网络上的芳邻』咯！ Windows 系统的计算机可以透过桌面上『网络上的芳邻』来分享别人所提供的档案数据哩！真是方便。 不过，NFS 仅能让 Unix 机器沟通， CIFS 只能让 Windows 机器沟通。伤脑筋，那么有没有让 Windows 与 Unix-Like 这两个不同的平台相互分享档案数据的文件系统呢？ - 利用封包侦测逆向工程发展的 SMB Server 在 1991 年一个名叫 Andrew Tridgell 博士班研究生就有这样的困扰，他手上有三部机器，分别是跑 DOS 的个人计算机、DEC公司的 Digital Unix 系统以及 Sun 的 Unix 系统。在当时， DEC 公司有发展出一套称为 PATHWORKS 的软件，这套软件可以用来分享 DEC 的 Unix 与个人计算机的 DOS 这两个操作系统的档案数据，可惜让 Tridgell 觉得较困扰的是，Sun 的 Unix 无法藉由这个软件来达到数据分享的目的 ([注1](#ps1))。 这个时候 Tridgell 就想说：『咦！既然这两部系统可以相互沟通，没道理 Sun 就必需这么苦命吧？可不可以将这两部系统的运作原理找出来，然后让 Sun 这部机器也能够分享档案数据呢？』， 为了解决这样的的问题，他老兄就自行写了个 program 去侦测当 DOS 与 DEC 的 Unix 系统在进行数据分享传送时所使用到的通讯协议信息，然后将这些重要的信息撷取下来， 并且基于上述所找到的通讯协议而开发出 Server Message Block (SMB) 这个文件系统，而就是这套 SMB 软件就能够让 Unix 与 DOS 互相的分享数据啰！ **Tips:** 再次的给他强调一次，在 Unix Like 上面可以分享档案数据的 file system 是 NFS，那么在 Windows 上面使用的『网络上的芳邻』所使用的文件系统则称为 Common Internet File System, CIFS  - 取名 SAMBA 的主因 ^\_^ 既然写成了软件，想一想，总是需要注册一下商标吧！因此 Tridgell 就去申请了 SMBServer (Server Message Block 的简写) 这个名字来做为他撰写的这个软件的商标，可惜的是，因为 SMB 是没有意义的文字，因此没有办法达成注册。既然如此的话，那么能不能在字典里面找到相关的字词可以做为商标来注册呢？ 翻了老半天，呵呵！这个 **S**A**MB**A 刚好含有 SMB ， 又是热情有劲的拉丁舞蹈的名称，不然就用这个名字来做为商标好了！这成为我们今天所使用的 SAMBA 的名称由来啦！ ^\_^ - - - - - - ### 16.1.2 SAMBA 常见的应用 由上面说明的 SAMBA 发展缘由，你就应该不难知道， SAMBA 最初发展的主要目就是要用来沟通 Windows 与 Unix Like 这两个不同的作业平台，那么 SAMBA 可以进行哪些动作呢？想一想网芳能做的吧！ - 分享档案与打印机服务； - 可以提供用户登入 SAMBA 主机时的身份认证，以提供不同身份者的个别数据； - 可以进行 Windows 网络上的主机名解析 (NetBIOS name) - 可以进行装置的分享 (例如 Zip, CDROM...) 底下我们来谈几个 SAMBA 服务器的应用实例吧！ - 利用软件直接编修 WWW 主机上面的网页数据 相信很多人都是利用个人计算机将网页制作完毕之后，再以类似 FTP 之类的服务将网页上传到 WWW 主机的， 但这样有个困扰，那就是同时在客户端与 WWW 主机上头都有一份网页数据，常常会忘记哪一份是最新的， 最麻烦的是，有时候下载下来的档案已经经过好多修改了，却在下次的 FTP 作业，不小心又下载一次旧数据， 结果将已经修改过的数据覆盖过去～天吶！又要重写一遍.....真是讨厌！ 如果你有安装 SAMBA 服务器的设定的话，那么透过『网芳』的功能，直接联机远程服务器所提供的目录， 如此一来你可以直接在你的个人计算机上面修改主机的档案数据，只有一份正确的数据而已喔！ 这就有点像是『在线编修』呢，一修改完成，在 Internet 上面可以立刻检验，方便的很吶！ - 做成可直接联机的文件服务器 在鸟哥过去待过的实验室中，由于计算机数量不多，研究生常常会使用到不同的计算机 (因为大家都得抢没有人用的计算机啊！) ，此外，也常常有研究生拿自己的 NoteBook 来工作，因此，有些团队的数据就分散在各个计算机当中，使用上相当的不方便。 这个时候，鸟哥就使用 SAMBA 将硬盘空间分享出来，由于使用者要登入 SAMBA 这个服务器主机时需要输入用户数据 (账号与密码)，而不同的登入者会取得不一样的目录资源，所以可以避免自己的数据在公用计算机上面被窥视， 此外，在不同的公用计算机上面都可以登入 SAMBA 主机，数据的使用上面真是相当的棒啊！ - 打印机服务器 SAMBA 除了分享文件系统外，也可以分享打印机喔，鸟哥的研究室好几部计算机就是直接以 Linux 分享的打印机来印制报告的。你会说『啊 Windows 也可以办的到啊！没有什么了不起的！』是啊。 但是鸟哥认为，用 Linux 做为服务器主机时毕竟还是比较稳定一点，可以 24 小时且全年无休的努力工作吶。此外，因为目前透过『网络上的芳邻』来攻击局域网络的 Windows 操作系统的计算机病毒实在是太多了，防不胜防， Linux 对于这样的攻击并没有很大的影响 (因为常见的攻击手法均针对 Windows 而来～)，所以也比较安全一些说～ - - - - - - SAMBA 的应用挺广泛的，尤其对于局域网络内的计算机来说，更是一项不可多得的好用的服务器， 虽然或许你会说，SAMBA 的功能不过是模仿 Windows 的网芳以及 AD 相关的软件， 那我直接使用 Windows 不就 OK 了？可惜的是， Windows XP 对于网芳的联机限制依版本而有所不同， 以企业常见的专业版 (Professional) 来说，他仅能提供最多同时十个联机到网芳的联机能力，这...不太够用吧！ 所以啰，SAMBA 稳定、可靠又没有限制联机数，值得学习吧！^\_^！更多的应用你可以自行发掘吶！ - - - - - - ### 16.1.3 SAMBA 使用的 NetBIOS 通讯协议 事实上，[就像 NFS 是架构在 RPC Server 上面](http://linux.vbird.org/linux_server/0330nfs.php)一样， SAMBA 这个文件系统是架构在 NetBIOS (Network Basic Input/Output System, NetBIOS) 这个通讯协议上面所开发出来的。既然如此，我们当然就要了解一下 NetBIOS 啰！ 最早 IBM 发展出 NetBIOS 的目的仅是要让局域网络内少数计算机进行网络链接的一个通讯协议而已， 所以考虑的角度并不是针对大型网络，因此，这个 NetBIOS 是无法跨路由的 (Router / Gateway)。这个 NetBIOS 在局域网络内实在是很好用， 所以微软的网络架构就使用了这个咚咚来进行沟通的吶！而 SAMBA 最早发展的时候，其实是想要让 Linux 系统可以加入 Windows 的系统当中来分享使用彼此的档案数据的，所以当然 SAMBA 就架构在 NetBIOS 发展出来啰。 不过 NetBIOS 是无法跨路由的，因此使用 NetBIOS 发展起来的服务器理论上也是无法跨越路由的呢！ 那么该服务器的使用范围不就受限相当的多了？好在，我们还有所谓的 NetBIOS over TCP/IP 的技术呢！这是什么样的技术啊？ 举个例子来说好了，我们知道 TCP/IP 是目前网络连接的基本协议，现在我们将 NetBIOS 想成是一封明信片， 这个明信片只能让你自己欣赏而已，如果今天我们要将这个明信片送到远方的朋友那边时！就需要透过邮件系统 (例如邮局啦、国际快递啦等等的) 来传送了！这个 TCP/IP 就可以视为邮件传递系统啦！透过这个 NetBIOS over TCP/IP 的技术，我们就可以跨路由的使用 SAMBA 服务器所提供的功能咯！ 当然啦，目前 SAMBA 还是比较广泛的使用在 LAN 里面说。 **Tips:** 或许你会发现在 Windows 网络设定里面常常看到 NetBEUI 这个咚咚，那是什么呢？那个是 NetBIOS Extened User Interface 的简写，也是 IBM 在 NetBIOS 发展出来之后的改良版本。虽然这两者的技术不太相同， 不过，我们只要知道一些简单的概念就可以了！所以，在这里我们不针对 NetBEUI 来介绍。  - - - - - - ### 16.1.4 SAMBA 使用的 daemons NetBIOS 当初发展时就着眼在局域网络内的快速数据交流，而因为是定义在局域网络内，因此他并没有使用类似 TCP/IP 之类的传输协议，也就不需要 IP 的设定。如此一来数据如何在两部主机之间交流呢？ 其实主机在 NetBIOS 协议当中的定义为使用『NetBIOS Name』，每一部主机必须要有不同的 NetBIOS Name 才行， 而档案数据就是在不同的 NetBIOS name 之间沟通啰！我们以一个网芳的设定来作简单的说明好了： 1. 取得对方主机的 NetBIOS name 定位该主机所在： 当我们想要登入某部 Windows 主机使用他所提供的档案数据时，必需要加入该 Windows 主机的群组 (Workgroup)，并且我们的机器也必需要设定一个主机名，注意喔，这个主机名跟 Hostname 是不一样的，因为这个主机名是架构在 NetBIOS 协议上的，我们可以简单的称呼他为 NetBIOS Name。在同一个群组当中，NetBIOS Name 必需要是独一无二的喔！ 2. 利用对方给予权限存取可用资源： 在我们找到该主机名后，是否能登入该对方主机或者是取用对方主机所提供的资源， 还要看对方 Windows 主机有没有提供我们使用的权限吶！所以，并不是登入该 Windows 主机之后我们就可以无限制的取用该主机的档案资源了。也就是说，如果对方主机允许你登入， 但是却没有开放任何资源让你取用，呵呵，登入主机也无法查看对方的硬盘里面的数据的啦！ 我们的 SAMBA 则是透过两支服务来控制这两个步骤，分别是： - nmbd ：这个 daemon 是用来管理工作组啦、NetBIOS name 啦等等的解析。主要利用 UDP 协议开启 port 137, 138 来负责名称解析的任务； - smbd ：这个 daemon 的主要功能就是用来管理 SAMBA 主机分享的目录、档案与打印机等等。 主要利用可靠的 TCP 协议来传输数据，开放的端口为 139 及 445(不一定存在) 。 所以啰， SAMBA 每次启动至少都需要有这两个 daemons 喔！这可不要忘记啰！而当我们启动了 SAMBA 之后，主机系统就会启动 137, 138 这两个 UDP 及 139 这一个 TCP 埠口，这也不要忘记了！ 因为后面设定防火墙的时候，还会使用到这三个 port 的呢！ - - - - - - ### 16.1.5 联机模式的介绍 (peer/peer, domain model) SAMBA 服务器的应用相当的广泛，而且可以依照不同的网域联机方式，与不同的用户账号密码的控管方式来进行分类。 例如最常见的 Workgroup 及 Domain 两种方式的联机模式呢！底下我们就是要来谈一谈这两种最常见的局域网络的联机模式： peer/peer (对等模式) 及 domain model (主控模式)。 - peer/peer (Workgroup model, 对等模式)： peer 有同等、同辈的意思存在，所以由字面上来看，peer/peer 当然就是指两部主机的地位相等啰！ 这是什么意思呢？简单的说，假如在局域网络里面的所有 PC 均可以在自己的计算机上面管理自己的账号与密码， 同时每一部计算机也都具有独力执行各项软件的能力，只是藉由网络将各个 PC 链接在一起而已的一个架构， 所以，每一部机器都是可以独立运作的喔！ 这样的架构在目前小型办公室里面是最常见的。例如办公室里面有十个人，每个人桌上可能都安装有一套 Windows 操作系统的个人计算机，而这十部计算机都可以独立进行办公室软件的执行啊、独立上网啊、独立玩游戏啊等等的， 因为这十部计算机都可以独立运作，所以不会有一部计算机关掉，其他的计算机就无法工作的情况发生，这就是 peer/peer 的典型架构。 那在这样的架构底下，要如何透过网络联机来取得对方的数据呢？举例来说，以下图的架构为例，在这样的架构下，假设 vbird (PC A) 写了一个报告书，而 dmtsai (PC B) 想要以网络直接取用这个报告书时，那 dmtsai 就必须要知道 vbird 使用的密码，并且 vbird 必须要在 PC A 上面启用 Windows 的『资源共享(或者是共享)』之后，才能够让 dmtsai 联机进入喔 (此时 PC A 为 Server) ！而且， vbird 可以随时依照自己的喜好来更改自己的账号与密码，而不受 dmtsai 的影响。不过，dmtsai 就得要取得 vbird 同意取得新的账号与密码后，才能够登入 PC A 喔！反过来说，同样的， vbird 要取得 dmtsai 的数据时，同样需要取得 PC B 的账号与密码后，才能够顺利登入啊 (此时 PC A 为 Client 喔)！因为 PC A, PC B 的角色与地位都同时可以为 Client 与 Server ，所以就是 peer/peer 的架构了！  图 16.1-1、peer/peer 联机的示意图 使用 peer/peer 的架构的好处是每部计算机均可以独立运作，而不受他人的影响！不过， 缺点就是当整个网域内的所有人员都要进行数据分享时，光是知道所有计算机里面的账号与密码，就会很伤脑筋了！ 所以， Peer/Peer 的架构是比较适合 (1)小型的网域，或者是 (2)没有需要常常进行档案数据分享的网络环境，或者是 (3)每个使用者都独自拥有该计算机的拥有权(就是说，该计算机是用户的，而不是公用的啦！) 而，如果该单位的所有 PC 均是公有的 (例如学校的计算机教室环境)，而且你需要统一控管整个网域里面的账号与密码的话， 那就得使用底下的 domain models 了！ - domain model (主控模式) 假设今天你服务的单位有 10 部计算机，但是你的单位有 20 个员工，这也就是说，这 20 个员工轮流抢着用这 10 部计算机。如果每部计算机都如同 peer/peer 的架构时，那么每部计算机都需要输入这 20 个员工的账号与密码来提供他们登入喔。而且，今天假如有个员工想要变更自己的密码时，就需要到 10 台计算机上面进行密码变更的作业！否则他就必须要记得这 10 部计算机里面，那一部计算机是记忆那一个密码...好烦那～ 如果上述是这样的情况，使用 peer/peer 架构就不是一个好方法了！这个时候就需要藉由 domain model 来达成你的需求啦！所谓的 domain model 概念其实也很简单，既然使用计算机资源需要账号与密码， 那么我将所有的账号与密码都放置在一部主控计算机 (Primary Domain Controller, PDC) 上面，在我的网域里面，任何人想要使用任何计算机时，都需要在屏幕前方输入账号与密码，然后通通藉由 PDC 服务器的辨识后，才给予适当的权限。也就是说，不同的身份还具有不一样的计算机资源权限就是了！ 例如底下的图示：  图 16.1-2、domain model 联机的示意图 PDC 服务器控管整个网域里面的各个机器 (PC A ~ PC D) 的账号与密码的信息，假如今天有个使用者账号名称为 vbird ，且密码为 12345 时，他不论使用哪一部计算机 (PC A ~ PC D) 只要在屏幕前方输入 vbird 与他的密码，则该机器会先到 PDC 上面查验是否有 vbird 以及 vbird 的密码，并且 PDC 主机会给予 vbird 这个用户相关的计算机资源权限。当 vbird 在任何一部主机上面登入成功后，他就可以使用相关的计算机资源了！ 这样的架构比较适合人来人往的企业架构，当系统管理员要控管新进人员的计算机资源使用权时，可以直接针对 PDC 来修改就好了，不需要每一部主机都去修修改改的，对于系统管理员来说，这样的架构在控管账号资源上，当然是比较简单的啦！ 各种架构适用的环境与适用的人都不相同，并没有那个是最好啦！请依照你的工作环境来选择联机的模式啰！当然， SAMBA 可以达到上述两种模式的啦！底下我们会分别来介绍喔！ - - - - - -