centos 6.3 如何修改/etc/samba/smb.conf 檔案設定多個共享資料夾,一些是公開的,一些是需要認證的
阿新 • • 發佈:2019-01-03
第一節、samba是幹什麼的?它有什麼用? Samba(SMB是其縮寫) 是一個網路伺服器,它是Linux作為本地伺服器最重要的一個服務,用於Linux和Windows共享檔案之用;Samba可以用於Windows和Linux之間的共享檔案,也一樣用於Linux和Linux之間的共享檔案;不過對於Linux和Linux之間共享檔案有更好的網路檔案系統NFS,NFS也是需要架設伺服器的; 大家知道在Windows 網路中的每臺機器即可以是檔案共享的伺服器,也可以同是客戶機;Samba 也一樣能行,比如一臺Linux的機器,如果架了Samba Server 後,它能充當共享伺服器,同時也能做為客戶機來訪問其它網路中的Windows共享檔案系統,或其它Linux的Sabmba 伺服器; 我們在Windows網路中,看到共享檔案功能知道,我們直接就可以把共享資料夾當做本地硬碟來使用。在Linux的中,就是通過Samba的向網路中的機器提供共享檔案系統,也可以把網路中其它機器的共享掛載在本地機上使用;這在一定意義上說和FTP是不一樣的。 Samba 應該範圍主要是Windows和Linux 系統共存的網路中使用;如果一個網路環境都是Linux或Unix類的系統,沒有必要用Samba,應該用NFS更好一點; 那Samba 能為我們提供點什麼服務呢?主要是共享檔案和共享印表機; samba包括兩個伺服器守護程序,smbd和nmbd。這兩個程序各司其職,功用不同:smbd是samba服務的核心,是建立對話、驗證使用者、提供檔案系統和列印服務的基礎,負責硬碟驅動器和印表機的共享。使用者通過客戶端訪問這個程序來進行檔案和印表機共享;nmbd實現的是網路瀏覽,使得samba伺服器顯示在windows的網路鄰居中,同時允許使用者瀏覽可用資源。它負責NETBIOS資訊的管理和傳遞,使得windows的使用者可以在Explorer中使用“\\serverip”來訪問samba的共享檔案。 2、安裝及服務操作命令 安裝samba程式非常簡單,使用rpm -q samba檢視當前系統是否已經安裝了samba軟體。 如果沒有那就進入光碟,rpm -ivh *samba*.rpm即可。 仔細說下安裝的包: samba-common-3.0.28-0.el5.8 //samba伺服器和客戶端中的最基本檔案 samba-3.0.28-0.el5.8 //samba伺服器核心軟體包 system-config-samba-1.2.39-1.el5 //samba圖形配置介面 samba-client-3.0.28-0.el5.8 //samba客戶端軟體 啟動、暫停和停止服務:/etc/init.d/smb start /etc/init.d/smb stop /etc/init.d/smb restart 或service smb start service smb stop service smb restart 第二節、由最簡單的一個例子說起,匿名使用者可讀可寫的實現 第一步: 更改smb.conf 我們來實現一個最簡單的功能,讓所有使用者可以讀寫一個Samba 伺服器共享的一個資料夾;我們要改動一下smb.conf ;首先您要備份一下smb.conf檔案; [[email protected] ~]# cd /etc/samba [[email protected] samba]# cp smb.conf smb.conf.bak [[email protected] samba]# vi smb.conf 或geidt smb.conf & 然後我們把下面這段寫入smb.conf中: [global] workgroup = WORKGROUP netbios name = Liukai server string = Liukai's Samba Serversecurity = share [test] path = /opt/test writeable = yes browseable = yes guest ok = yes 註解: [global]這段是全域性配置,是必段寫的。其中有如下的幾行; workgroup 就是Windows中顯示的工作組;在這裡我設定的是WORKGROUP (用大寫); netbios name 就是在Windows中顯示出來的計算機名; server string 就是Samba伺服器說明,可以自己來定義;這個不是什麼重要的; security 這是驗證和登入方式,這裡我們用了share ;驗證方式有好多種,這是其中一種;另外一種常用的是user的驗證方式;如果用share呢,就是不用設定使用者和密碼了; [test] 這個在Windows中顯示出來是共享的目錄; path = 可以設定要共享的目錄放在哪裡; writeable 是否可寫,這裡我設定為可寫; browseable 是否可以瀏覽,可以;可以瀏覽意味著,我們在工作組下能看到共享資料夾。如果您不想顯示出來,那就設定為 browseable=no,guest ok 匿名使用者以guest身份是登入; 第二步:建立相應目錄並授權 [[email protected] ~]# mkdir -p /opt/test[[email protected] ~]# id nobody uid=99(nobody) gid=99(nobody) groups=99(nobody) [[email protected] ~]# chown -R nobody:nobody /opt/test 註釋:關於授權nobody,我們先用id命令查看了nobody使用者的資訊,發現他的使用者組也是nobody,我們要以這個為準。有些系統nobody使用者組並非是nobody ; 第三步:啟動伺服器 第四步:訪問Samba 伺服器的共享; 1、在Linux 中您可以用下面的命令來訪問; [[email protected] ~]# smbclient -L //liukai 或 smbclient /test Password: 注:直接按回車 2、在Windows中,您可以用下面的辦法來訪問; 或 3、說明:如果用了netbiosname,就不能用主機名訪問,如果沒用netbiosname,就可以用“\\主機名”來訪問。 第三節、簡單的密碼驗證伺服器修改smb.conf檔案:security = userguest account = liukaiencrypt passwords = yessmb passwd file = /etc/samba/smbpasswd然後,建立一個新使用者useradd liukaipasswd liukai成功後,cat /etc/passwd | mksmbpasswd.sh > /etc/samba/smbpasswdsmbpasswd -a liukai這就成功地添加了一個smb使用者。重啟服務,使用這個使用者進行登入即可。 第四節、複雜一點的使用者共享模型(適合10人左右的小型企業) 比如一個公司有五個部門,分別是linuxsir,sir01,sir02,sir03,sir04。我們想為這家公司設計一個比較安全的共享檔案模型。每個使用者都有自己的網路磁碟,sir01到sir04還有共用的網路硬碟;所有使用者(包括匿名使用者)有一個共享資料庫,此庫為了安全是隻讀的;所有的使用者(包括匿名使用者)要有一個臨時檔案終轉的資料夾... .... 1 共享許可權設計實現的功能; 1)linuxsir部門具有管理所有SMB空間的許可權; 2)sir01到sir04擁有自己的空間,並且除了自身及linuxsir有許可權以外,對其它使用者具有絕對隱私性; 3)linuxsir01到linuxsir04擁有一個共同的讀寫許可權的空間; 4) 所有使用者(包括匿名使用者)有一個有讀許可權的空間,用於資料庫,所以不要求寫入資料。 5)sir01到sir04還有一個共同的空間,對sir01到sir04的使用者來說是隱私的,不能讓其它使用者來訪問。 6) 還要有一個空間,讓所有使用者可以寫入,能刪除等功能,在許可權上無限制 ,用於公司所有使用者的臨時文件終轉等; 2 在伺服器上建立相應的目錄; [[email protected] ~]# mkdir -p /opt/linuxsir [[email protected] ~]# cd /opt/linuxsir [[email protected] linuxsir]# mkdir sir01 sir02 sir03 sir04 sirshare sir0104rw sirallrw [[email protected] linuxsir]# ls sir01 sir0104rw sir02 sir03 sir04 sirallrw sirshare 注:功用如下: /opt/linuxsir 這是管理員目錄,負責管理其下所有目錄; /opt/linuxsir/sir01 是sir01的家目錄,用於私用,除了使用者本身和linuxsir以外其它使用者都是不可讀不可寫; /opt/linuxsir/sir02 是sir02的家目錄,用於私用,除了使用者本身和linuxsir以外其它使用者都是不可讀不可寫; /opt/linuxsir/sir03 是sir03的家目錄,用於私用,除了使用者本身和linuxsir以外其它使用者都是不可讀不可寫; /opt/linuxsir/sir04 是sir04的家目錄,用於私用,除了使用者本身和linuxsir以外其它使用者都是不可讀不可寫; /opt/linuxsir/sirshare 所用使用者(除了linuxsir有許可權寫入外)只讀目錄 /opt/linuxsir/sir0104rw 是用於sir01到sir04使用者可讀可寫共用目錄,但匿名使用者不能讀寫; /opt/linuxsir/sirallrw 用於所有使用者(包括匿名使用者)的可讀可寫; 3 新增使用者使用者組,設定相應目錄家目錄的許可權; 3.1 新增使用者組; [[email protected] ~]# /usr/sbin/groupadd linuxsir [[email protected] ~]# /usr/sbin/groupadd sir01 [[email protected] ~]# /usr/sbin/groupadd sir02 [[email protected] ~]# /usr/sbin/groupadd sir03 [[email protected] ~]# /usr/sbin/groupadd sir04 [[email protected] ~]# /usr/sbin/groupadd sir0104 3.2 新增使用者; [[email protected] ~]# adduser -g sir01 -G sir0104 -d /opt/linuxsir/sir01 -s /sbin/nologin sir01 [[email protected] ~]# adduser -g sir02 -G sir0104 -d /opt/linuxsir/sir02 -s /sbin/nologin sir02 [[email protected] ~]# adduser -g sir03 -G sir0104 -d /opt/linuxsir/sir03 -s /sbin/nologin sir03 [[email protected] ~]# adduser -g sir04 -G sir0104 -d /opt/linuxsir/sir04 -s /sbin/nologin sir04 [[email protected] ~]# adduser -g linuxsir -d /opt/linuxsir -G linuxsir,sir01,sir02,sir03,sir04,sir0104 -d /opt/linuxsir -s /sbin/nologin linuxsir 為什麼這樣新增使用者?請參考: 《Linux 檔案和目錄的屬性》 《Linux 使用者管理工具介紹》 當然我們還得學會檢視使用者資訊的工具用法,比如 用finger和id來檢視使用者資訊,主要是看使用者是否新增正確;比如;請參考《Linux 使用者(User)查詢篇》 [[email protected] ~]# id linuxsir [[email protected] ~]# finger linuxsir 3.3 新增samba使用者,並設定密碼; 我們用的方法是先新增使用者,但新增的這些使用者都是虛擬使用者,因為這些使用者是不能通過SHELL登入系統的;另外值得注意的是系統使用者密碼和Samba使用者的密碼是不同的。如果您設定了系統使用者能登入SHELL,可以設定使用者的Samba密碼和系統使用者通過SHELL登入的密碼不同。 我們通過smbpasswd 來新增Samba使用者,並設定密碼。原理是通過讀取/etc/passwd檔案中存在的使用者名稱。 [[email protected] sir01]# smbpasswd -a linuxsir New SMB password: 注:在這裡新增Samba使用者linuxsir的密碼; Retype new SMB password: 注:再輸入一次; 用同樣的方法來新增 sir01、sir02、sir03、sir04的密碼; 3.4 配置相關目錄的許可權和歸屬; [[email protected] ~]# chmod 755 /opt/linux [[email protected] ~]# chown linuxsir:linuxsir /opt/linuxsir [[email protected] ~]# cd /opt/linuxsir [[email protected] ~]# chmod 2770 sir0* [[email protected] ~]# chown sir01.linuxsir sir01 [[email protected] ~]# chown sir02.linuxsir sir02 [[email protected] ~]# chown sir03.linuxsir sir03 [[email protected] ~]# chown sir04.linuxsir sir04 [[email protected] ~]# chown linuxsir.sir0104 sir0104rw [[email protected] ~]# chown linuxsir.linuxsir sirshare [[email protected] ~]# chmod 755 sirshare [[email protected] ~]# chown linuxsir:linuxsir sirallrw [[email protected] ~]# chmod 3777 sirallrw 4 修改Samba配置檔案 smb.conf; 配置檔案如下,修改/etc/samba/smb.conf後,不要忘記重啟smbd和nmbd伺服器; [global] workgroup = LINUXSIR netbios name = LinuxSir server string = Linux Samba Test Server security = share [linuxsir] comment = linuxsiradmin path = /opt/linuxsir/ create mask = 0664 #create mask是使用者建立檔案時的許可權掩碼;對使用者來可讀可寫,對使用者組可讀可寫,對其它使用者可讀; directory mask = 0775 #directory mask 是用來設定使用者建立目錄時的許可權掩碼,意思是對於使用者和使用者組可讀可寫,對其它使用者可讀可執行; writeable = yes valid users = linuxsir browseable = yes [sirshare] path = /opt/linuxsir/sirshare writeable = yes browseable = yes guest ok = yes [sirallrw] path = /opt/linuxsir/sirallrw writeable = yes browseable = yes guest ok = yes [sir0104rw] comment = sir0104rw path = /opt/linuxsir/sir0104rw create mask = 0664 directory mask = 0775 writeable = yes valid users = linuxsir,@sir0104 #@sir0104是使用者組; browseable = yes [sir01] comment = sir01 path = /opt/linuxsir/sir01 create mask = 0664 directory mask = 0775 writeable = yes valid users = sir01,@linuxsir browseable = yes [sir02] comment = sir02 path = /opt/linuxsir/sir02 create mask = 0664 directory mask = 0775 writeable = yes valid users = sir02,@linuxsir browseable = yes [sir03] comment = sir03 path = /opt/linuxsir/sir03 create mask = 0664 directory mask = 0775 writeable = yes valid users = sir03,@linuxsir browseable = yes [sir04] comment = sir04 path = /opt/linuxsir/sir04 create mask = 0664 directory mask = 0775 writeable = yes valid users = sir04,@linuxsir browseable = yes 第五節、Samba 檔案伺服器使用者複雜許可權模型設計和實現http://www.linuxsir.org/main/node/278 附: 1、出現問題: 在使用user模式時,先做的share,然後新建一個賬號newman進行user模式登陸,出現“samba不允許一個使用者使用一個以上使用者名稱與一個伺服器或共享資源的多重連線”。 2、問題解決: 在xp中,執行cmd,輸入如下命令 net use * /del /y 清空登陸資訊後,就能夠正常訪問了。 3、錯誤原因: 事實上這個不是samba的限制,而是Windows的限制。 在開啟存在public=yes的samba伺服器時,如果首先點選了有public=yes的共享資源的時候,widows會用預設的使用者名稱去連線伺服器,一般就是windows的登入名,之後再去點選沒有public=yes的共享資源,由於使用了user級別,伺服器就要驗證,可是由於之前的預設登入已經存在,就出現了上述故障。即使登出連線後如果沒有采用正確的順序訪問共享資源,仍然會陷入這個泥潭中。 因此,最好辦法就是不用public=yes,給公共帳號建立一個共用的賬戶並公示出來。這樣處理,其實許可權更清晰一些。