学习运维——samba

Samba

一、Samba服务的组成部分
1. 软件包:
Samba-common – Samba的支持文件
Samba-client – 客户端应用程序
Samba – 服务器应用程序

2. 服务名称:smb nmb

3. 服务端口: 通常使用TCP/445进行所有连接。还使用UDP137、UDP138和TCP/139进行向后兼容

4. 主配置文件:/etc/samba/smb.conf

etc/samba/smb.conf: [global]部分
workgroup用于指定Windows工作组或网络域名。
hosts allow

hosts allow是用逗号、空格或制表符分隔的允许访问服务的主机集合。如果在[global]部分中指定, 将适用于所有服务,无论单个服务是否具有不同的设置。 您可以按名称或IP号指定主机。例如,您可以使用allow hosts = 192.168.0. 表示允许一个网络。

安全性
该选项影响客户端如何响应Samba,并且在smb.conf文件中是最重要的设置之一。
security = user         客户端必须通过有效的用户名和密码登录。
security = domain    只有当计算机已添加到NT域时才能正常工作。它要求将encrypted passwords 参数设置为yes。在该模式中,Samba通过将用户名/密码传递至Windows NT主域控制器或备份域控 制器来进行验证,与Windows NT Server采用的方式完全一样。请注意,有效的UNIX用户以及域控制 器上的账户必须仍然存在,以允
许Samba具有有效的UNIX账户,可用以映射文件访问。您必须设置 passwd server参数,为Samba提供服务器,以验证密码。

security = server
Samba将通过将用户名/密码传递至另一个SMB服务器来尝试进行验证。您必须设置password server参数, 为samba提供服务器, 以验证密码。
security = ads
Samba在ADS realm中作为域成员。如要在该模式下操作,运行Samba的计算机需要安装并配置Kerberos,并且需要使用net实用程序将Samba加入ADS realm。

/etc/samba/smb.conf:其他部分
[homes]
此共享(默认情况下启用)是一个特别共享,通过CIFS使用户的主目录可。它包括browseable= no, 因此在用户进行身份验证之前,将不会显示为可用共享。共享名称可以指定为homes(这种情况下, Samba服务器会将其转换为用户的主目录路径)或username。
[printers]
默认情况下也可用,将共享当前可用的打印机 。
[share]

如果您想要设置其他共享,请将共享名称放置在括号中,如上所示。共享需要至少一个path参数。

二、SMB用户

SMB用户必须是系统中有的用户

useradd
security = user需要UNIX和Samba账户信息。添加用户(最好使用与Samba账户一样的名称),或 在/etc/samba/smbusers中放置条目(有一些示例)。如果您创建仅Samba用户,请将UNIX密码设置为/sbin/nologin。
[root@serverX ~]# useradd -s /sbin/nologin wxh

smbpasswd
如果您没有Samba密码服务器,则必须在本地计算机上创建身份验证数据。使用smbpasswd创
建 Samba账户和密码。
如果smbpasswd只传递一个用户名而不带任何选项,它将尝试更改账户密码。传递-a选项将添
加账户 并设置密码。
[root@serverX ~]# smbpasswd -a wxh
New SMB password: westos
Retype new SMB password: westos
Added user wxh.

Linux怎么给Linux或Windows共享文件？

1.安装samba
[root@samba ~]# yum install samba-common  samba samba-client -y

2.开启服务smb
[root@samba ~]# systemctl start smb

3.关防火墙
[root@samba ~]# systemctl stop firewalld

4.设置selinux
[root@samba ~]# setsebool -P samba_enable_home_dirs on

samba_enable_home_dirs  on ：许本地Linux主目录作为CIFS文件共享导出至其他系统

samba_export_all_ro 和 samba_export_all_rw    用于共享系统目录

5.在服务器端添加samba用户
samba用户要添加，必须是系统中有的用户
[root@samba ~]# smbpasswd -a student
[root@samba ~]# pdbedit -L            #查看samba用户

因我没有Windows的虚拟机，所以就拿服务器做客户端
[root@samba ~]# smbclient -L //172.25.254.129 -U student
[root@samba ~]# smbclient  //172.25.254.129/student -U student


添加linux smb服务的共享目录：
1.写配置文件
[root@samba ~]# vim /etc/samba/smb.conf

        [westos]
        comment = westos
        path = /westos

2.重启服务
[root@samba ~]# systemctl restart smb

3.selinux安全上下文
1>针对某一共享目录
[root@samba ~]# semanage fcontext -a -t samba_share_t '/westos(/.*)?'
[root@samba ~]# restorecon -FvvR /westos
2>对所有共享目录
[root@samba ~]# setsebool -P samba_export_all_rw on

4.登录访问
[root@samba ~]# smbclient //172.25.254.129/westos -U student


修改workgroup名称：
[root@samba ~]# vim /etc/samba/smb.conf
 89         workgroup = westos

samba匿名访问：

322         [westos]
323         comment = samba share directory westosiscsi配置
324         path = /westos
325         guest ok = yes              ##允许匿名访问

将服务器共享目录挂载到本地目录：
[root@samba ~]# mount //172.25.254.190/westos /mnt -o username=guest         ##以匿名用户身份挂载到
mount: //172.25.254.190/westos is write-protected, mounting read-only
mount: cannot mount //172.25.254.190/westos read-only

此时还不能挂载，怎么能挂载？

[root@samba ~]# vim /etc/samba/smb.conf

125         map to guest = bad user

guest用户映射在/etc/samba/smb.conf由全局参数"map to guest"控制,它只能放在[global]节中,可以是如下三个值:
1>map to guest = Never
不进行映射,拒绝非法用户访问任何资源.这是默认行为.
2>map to guest = Bad User
如果用户使用一个不存在的帐号登录,就将它映射为guest用户;如果提供的帐号正确而口令错误,则禁止连接.

3>map to guest = Bad Password

将使用错误口令登录的用户映射为guest用户.这样的设置会产生一个问题,即如果用户不小心键入了错误的口令,服务器会"偷偷地"将他映射为guest用户,而不 出任何错误信息,这样用户会在不知情的情况下受到种种访问限制.

[root@samba ~]# mount //172.25.254.190/westos /mnt -o username=guest

这是手动挂载，下面是永久挂载：
将以下行添加到/etc/fstab:
//server0.example.com/smbshare    /mnt/wxh    cifs      credentials=/root/userpasswd    0    0
创建/root/userpasswd:
user=wxh
pass=westos

/etc/samba/smb.conf的参数：
        writable = yes                    ##所有人的写权限开启， 开了之后还要注意，文件系统的写权限有没有
        write list = wuhui               ##允许wuhui写
        write list = +wuhui             ##允许wuhui组写
        valid users = wuhui           ##只允许wuhui登录
        valid users = +wuhui         ##只允许wuhui组登录：

三、SMB多用户挂载

在客户端做以下操作：

1.如果/etc/samba/smb.conf中禁止匿名用户访问

2.安装cifs-utils软件包,它包含了cifscreds命令:

# yum install -y cifs-utils

3.创建smb多用户挂载目录:

# mkdir /mnt/multiuser

4.建立smb认证文件:
# echo 'username=brian' > /root/smb-multiuser.txt
# echo 'password=redhat' > /root/smb-multiuser.txt

5.编辑/etc/fstab,永久挂载smb共享:

//server0/smbshare /mnt/multiuser cifs credentials=/root/smb-multiuser.txt,multiuser,
sec=ntlmssp 0 0

# mount -a

6.使用认征文件中的用户登录

# su - brian
$ touch /mnt/multiuser/test.txt
touch: cannot touch ‘/mnt/multiuser/brian.txt’: Permission denied           ##不认证没有写权限
$ cifscreds add server0
Password: redhat
$ echo "multiuser" > /mnt/multiuser/brian.txt                                            ##认证成功
$ cat /mnt/multiuser/brian.txt
multiuser
$ exit
7.使用不在认证文件中的用户的登录

# su - rob                                                   
$ cifscreds add server0                                                                         ##认证
Password: redhat
$ echo "multiuser" > /mnt/multiuser/rob.txt
-bash: /mnt/multiuser/rob.txt: Permission denied                                   ##因rob不在认证文件中，所以没有权限
$ cat /mnt/multiuser/brian.txt
multiuser