Linux系統(tǒng)服務(wù)搭建之samba

• 基本概念

局域網(wǎng)內(nèi)的不同計(jì)算機(jī)之間提供文件及打印機(jī)等資源的共享服務(wù)，SMB協(xié)議是C/S模型協(xié)議。

1.1、相關(guān)協(xié)議

      Linux——NFS（Network File System）：網(wǎng)絡(luò)文件系統(tǒng)

      Window——NetBios：主機(jī)名解析協(xié)議

      LinuxèWindow——CIFS ：通用網(wǎng)絡(luò)文件系統(tǒng)

1.2、特點(diǎn)

局域網(wǎng)、跨操作系統(tǒng)平臺(tái)、可在線修改文件內(nèi)容

samba——軟件、smb——文件共享協(xié)議、

1.3、作用

   1、        分享網(wǎng)絡(luò)文檔、打印機(jī)

   2、        跨平臺(tái)訪問(wèn)身份驗(yàn)證、權(quán)限設(shè)置、支持SSL證書(shū)加密

   3、        解析NetBios名字：Samba通過(guò)nmbd服務(wù)可以搭建NBNS（NetBios  Nmae Server）服務(wù)器，提供名稱解析——將計(jì)算機(jī)名解析為IP，實(shí)現(xiàn)主機(jī)之間的訪問(wèn)定位！

1.4、端口

     SMB——TCP  139     445

     NMB——UDP   137     138

1.5、配置文件

   主配置文件——/etc/samba/smb.conf

   用戶名別名配置文件——/etc/samba/smbuser(用于隱藏用戶真實(shí)的名稱)

1.6、用戶安全級(jí)別

   在全局配置文件  “global”下，security = “***”

   share------匿名登錄

   user——本地用戶（需配置共享密碼）和匿名用戶都可登錄

   server——專門作為一臺(tái)身份驗(yàn)證的服務(wù)器

   domain——通過(guò)域控制器驗(yàn)證登錄

1.7、全局設(shè)置參數(shù)

[global]

workgroup =MYGROUP        #工作組名稱     

username  map = /etc/samba/smbusers   #啟用別名概念             

server string =Samba Server Version %v    #服務(wù)器描述信息，一般為版本信息

log file =/var/log/samba/log.%m     #日志文件路徑和名稱

max log size =50    #如果日志文件的大小超過(guò)50KB，則重新記錄

security = user    #用戶登錄安全級(jí)別：share、user、server、domain

passdb backend =tdbsam  #設(shè)置共享賬戶文件類型，默認(rèn)為tdbsam

load printers =yes  # 自動(dòng)加載打印機(jī)

cups options =raw   #指定打印機(jī)的工作模式

netbios name =**    #主機(jī)的netbios 的名稱

hosts allow = 127. 192.168.100.   #允許訪問(wèn)共享文件的網(wǎng)段及用戶IP、域名

realm = **    #指定 Active  Directory

1.8、共享文件區(qū)域設(shè)置

[homes]  #共享文件名（隨便寫）

 comment = Home Directories  #共享文件“homes”的描述信息

 browseable = no  #設(shè)置共享文件夾在Window的網(wǎng)上鄰居中是否可見(jiàn)，此處為不可見(jiàn)

 path = /var/spool/samba    #共享文件夾的目錄

 writable = yes    #擁有寫權(quán)限------與read   only 只讀模式    剛好相反

 public = yes   #允許共享

 guest ok = yes #允許匿名訪問(wèn)

valid users = abc ，@xyz，+qwe   #僅允許幾個(gè)用戶登錄，或者組登錄

 注：上面一條命令的使用前提是共享目錄擁有777權(quán)限

create mask = 666#上傳文件的默認(rèn)權(quán)限

directory mask=777  #上傳目錄的默認(rèn)權(quán)限

read  only = yes #開(kāi)啟只讀模式（配置文件內(nèi)設(shè)置）——系統(tǒng)默認(rèn)

valid users =用戶1，用戶2   可以訪問(wèn)的用戶

write list = 用戶1 （配置文件內(nèi)設(shè)置）———有“寫”權(quán)限用戶列表

最后的三項(xiàng)經(jīng)常組合當(dāng)做白名單使用同時(shí)還要給目錄更改權(quán)限

• 用戶登錄

2.1、使用匿名用戶登錄

設(shè)置共享文件夾，直接免用戶名登錄

步驟：

    第一步    配置本地yum源，安裝軟件samba

yum  -y install  samba

第二步    配置共享文件/etc/samba/smb.conf

將安全級(jí)別改為 “security =  share”

    第三步    啟動(dòng)smb服務(wù)

       service  smb  start

    第四步   在客戶端登錄驗(yàn)證

查看共享文件目錄： smbclient   -L   IP      

登錄服務(wù)器上的共享文件   smbclient   //IP/共享區(qū)域名 （自己上面【】里面寫的那個(gè)）

2.2、使用有效用戶登錄

有效用戶的登錄方式和上面的匿名用戶一樣，只是將上面的安全級(jí)別改為

“security =  user”此時(shí)，匿名用戶和有效用戶都可以登錄

2.3、查看系統(tǒng)的共享文件

         使用匿名用戶 smbclient    -L   IP

          使用指定用戶Smbclient    -U    user1    -L   IP   

2.4、將系統(tǒng)已有的本地用戶轉(zhuǎn)換為samba用戶

Pdbedit    -a  bcl  （在服務(wù)器端）

并查看已有的samba用戶       Pdbedit    -L

2.5、創(chuàng)建zhangsan、lisi本地用戶，張三可以“寫”，李四為“只讀”、目錄不可見(jiàn)

        先給共享目錄開(kāi)啟權(quán)限 rw

        修改配置文件

• 使用samba實(shí)現(xiàn)公司的文件服務(wù)器

要求：

1、創(chuàng)建 兩個(gè)部門HR、IT，每個(gè)部門兩個(gè)人hr01、hr02、it01、it02，設(shè)置文件共享密碼；

2、部門內(nèi)部的文件只能內(nèi)部人員查看，別的部門不能查看；

3、用戶之間彼此的文件可以查看但是不能修改他人的文件；

4、HR部門的文件遠(yuǎn)程只允許領(lǐng)導(dǎo)辦公室192.168.115.200電腦查看；

5、IT部門的文件只允許管理員it01有寫權(quán)限；且只允許其他兩個(gè)部門192.168.115網(wǎng)段和192.168.100網(wǎng)段的職工查看；

6、誰(shuí)創(chuàng)建的文件只能誰(shuí)修改；

7、還要有一個(gè)公布員工工資表的文件夾！

實(shí)驗(yàn)步驟：

第一步   創(chuàng)建組HR、IT，并在組內(nèi)分別創(chuàng)建成員hr01、hr02，it01、it02，設(shè)置共享密碼

查看添加的組內(nèi)成員的所有者、所屬組、附加組

第二步、創(chuàng)建部門目錄，設(shè)置權(quán)限：只能本部門成員使用本部門的目錄文件

創(chuàng)建部門共享文件夾：

/home/HR,更改所屬組為 HR，設(shè)置權(quán)限1770，即所有者和所屬組有全部權(quán)限，且賦予SBIT的權(quán)限，誰(shuí)創(chuàng)建誰(shuí)負(fù)責(zé)！

/home/IT,更改所屬組為IT，設(shè)置權(quán)限1770

全公司職工工資表查看文件夾 /home/public

第三步、設(shè)置配置文件，并給相應(yīng)的部門開(kāi)啟權(quán)限

1、為了實(shí)驗(yàn)效果，下面的配置文件將部分權(quán)限分開(kāi)設(shè)置；

2、配置三種共享文件夾的具體目錄路徑，開(kāi)啟共享權(quán)限；

3、限制各部門共享文件查看人員權(quán)限；

4、測(cè)試驗(yàn)證

基于用戶的訪問(wèn)控制權(quán)限

Window系統(tǒng)測(cè)試并驗(yàn)證

測(cè)試hr02用戶除了可以查看是否還可以修改hr01用戶的資料

基于主機(jī)的訪問(wèn)控制權(quán)限

第四步、驗(yàn)證

/public共享文件任何人都可以查看

HR目錄在非192.168.115.200電腦上登錄無(wú)論誰(shuí)都登不上，200的IP為Window，在上面已經(jīng)驗(yàn)證

IT目錄只能在192.168.115.0和192.168.100.0網(wǎng)段的電腦上登錄

• 磁盤映射

Window端緩存清除

net use *    /del

Window端緩存查看

net use

磁盤映射

Linux端

    先查看共享的目錄 smbclient  -U bcl  -L 192.168.115.193

     臨時(shí)掛載：

 mount  -t cifs   -o  username=***,password=***    //服務(wù)器IP/共享目錄     /mnt

永久掛載需要寫入  /etc/fstab 中

Window端

     我的電腦è（右鍵）映射網(wǎng)絡(luò)驅(qū)動(dòng)器è//共享服務(wù)器的IP/共享文件夾

     對(duì)于windows而言，只要是網(wǎng)絡(luò)上的共享文件夾，都可以使用這種方式共享