Linux系統服務搭建之samba

• 基本概念

局域網內的不同計算機之間提供文件及打印機等資源的共享服務，SMB協議是C/S模型協議。

1.1、相關協議

      Linux——NFS（Network File System）：網絡文件系統

      Window——NetBios：主機名解析協議

      LinuxèWindow——CIFS ：通用網絡文件系統

1.2、特點

局域網、跨操作系統平臺、可在線修改文件內容

samba——軟件、smb——文件共享協議、

1.3、作用

   1、        分享網絡文檔、打印機

   2、        跨平臺訪問身份驗證、權限設置、支持SSL證書加密

   3、        解析NetBios名字：Samba通過nmbd服務可以搭建NBNS（NetBios  Nmae Server）服務器，提供名稱解析——將計算機名解析為IP，實現主機之間的訪問定位！

1.4、端口

     SMB——TCP  139     445

     NMB——UDP   137     138

1.5、配置文件

   主配置文件——/etc/samba/smb.conf

   用戶名別名配置文件——/etc/samba/smbuser(用于隱藏用戶真實的名稱)

1.6、用戶安全級別

   在全局配置文件  “global”下，security = “***”

   share------匿名登錄

   user——本地用戶（需配置共享密碼）和匿名用戶都可登錄

   server——專門作為一臺身份驗證的服務器

   domain——通過域控制器驗證登錄

1.7、全局設置參數

[global]

workgroup =MYGROUP        #工作組名稱     

username  map = /etc/samba/smbusers   #啟用別名概念             

server string =Samba Server Version %v    #服務器描述信息，一般為版本信息

log file =/var/log/samba/log.%m     #日志文件路徑和名稱

max log size =50    #如果日志文件的大小超過50KB，則重新記錄

security = user    #用戶登錄安全級別：share、user、server、domain

passdb backend =tdbsam  #設置共享賬戶文件類型，默認為tdbsam

load printers =yes  # 自動加載打印機

cups options =raw   #指定打印機的工作模式

netbios name =**    #主機的netbios 的名稱

hosts allow = 127. 192.168.100.   #允許訪問共享文件的網段及用戶IP、域名

realm = **    #指定 Active  Directory

1.8、共享文件區域設置

[homes]  #共享文件名（隨便寫）

 comment = Home Directories  #共享文件“homes”的描述信息

 browseable = no  #設置共享文件夾在Window的網上鄰居中是否可見，此處為不可見

 path = /var/spool/samba    #共享文件夾的目錄

 writable = yes    #擁有寫權限------與read   only 只讀模式    剛好相反

 public = yes   #允許共享

 guest ok = yes #允許匿名訪問

valid users = abc ，@xyz，+qwe   #僅允許幾個用戶登錄，或者組登錄

 注：上面一條命令的使用前提是共享目錄擁有777權限

create mask = 666#上傳文件的默認權限

directory mask=777  #上傳目錄的默認權限

read  only = yes #開啟只讀模式（配置文件內設置）——系統默認

valid users =用戶1，用戶2   可以訪問的用戶

write list = 用戶1 （配置文件內設置）———有“寫”權限用戶列表

最后的三項經常組合當做白名單使用同時還要給目錄更改權限

• 用戶登錄

2.1、使用匿名用戶登錄

設置共享文件夾，直接免用戶名登錄

步驟：

    第一步    配置本地yum源，安裝軟件samba

yum  -y install  samba

第二步    配置共享文件/etc/samba/smb.conf

將安全級別改為 “security =  share”

    第三步    啟動smb服務

       service  smb  start

    第四步   在客戶端登錄驗證

查看共享文件目錄： smbclient   -L   IP      

登錄服務器上的共享文件   smbclient   //IP/共享區域名 （自己上面【】里面寫的那個）

2.2、使用有效用戶登錄

有效用戶的登錄方式和上面的匿名用戶一樣，只是將上面的安全級別改為

“security =  user”此時，匿名用戶和有效用戶都可以登錄

2.3、查看系統的共享文件

         使用匿名用戶 smbclient    -L   IP

          使用指定用戶Smbclient    -U    user1    -L   IP   

2.4、將系統已有的本地用戶轉換為samba用戶

Pdbedit    -a  bcl  （在服務器端）

并查看已有的samba用戶       Pdbedit    -L

2.5、創建zhangsan、lisi本地用戶，張三可以“寫”，李四為“只讀”、目錄不可見

        先給共享目錄開啟權限 rw

        修改配置文件

• 使用samba實現公司的文件服務器

要求：

1、創建 兩個部門HR、IT，每個部門兩個人hr01、hr02、it01、it02，設置文件共享密碼；

2、部門內部的文件只能內部人員查看，別的部門不能查看；

3、用戶之間彼此的文件可以查看但是不能修改他人的文件；

4、HR部門的文件遠程只允許領導辦公室192.168.115.200電腦查看；

5、IT部門的文件只允許管理員it01有寫權限；且只允許其他兩個部門192.168.115網段和192.168.100網段的職工查看；

6、誰創建的文件只能誰修改；

7、還要有一個公布員工工資表的文件夾！

實驗步驟：

第一步   創建組HR、IT，并在組內分別創建成員hr01、hr02，it01、it02，設置共享密碼

查看添加的組內成員的所有者、所屬組、附加組

第二步、創建部門目錄，設置權限：只能本部門成員使用本部門的目錄文件

創建部門共享文件夾：

/home/HR,更改所屬組為 HR，設置權限1770，即所有者和所屬組有全部權限，且賦予SBIT的權限，誰創建誰負責！

/home/IT,更改所屬組為IT，設置權限1770

全公司職工工資表查看文件夾 /home/public

第三步、設置配置文件，并給相應的部門開啟權限

1、為了實驗效果，下面的配置文件將部分權限分開設置；

2、配置三種共享文件夾的具體目錄路徑，開啟共享權限；

3、限制各部門共享文件查看人員權限；

4、測試驗證

基于用戶的訪問控制權限

Window系統測試并驗證

測試hr02用戶除了可以查看是否還可以修改hr01用戶的資料

基于主機的訪問控制權限

第四步、驗證

/public共享文件任何人都可以查看

HR目錄在非192.168.115.200電腦上登錄無論誰都登不上，200的IP為Window，在上面已經驗證

IT目錄只能在192.168.115.0和192.168.100.0網段的電腦上登錄

• 磁盤映射

Window端緩存清除

net use *    /del

Window端緩存查看

net use

磁盤映射

Linux端

    先查看共享的目錄 smbclient  -U bcl  -L 192.168.115.193

     臨時掛載：

 mount  -t cifs   -o  username=***,password=***    //服務器IP/共享目錄     /mnt

永久掛載需要寫入  /etc/fstab 中

Window端

     我的電腦è（右鍵）映射網絡驅動器è//共享服務器的IP/共享文件夾

     對于windows而言，只要是網絡上的共享文件夾，都可以使用這種方式共享