配置Samba服务器配置现实文件共享

 

 

一:实验环境

Samba服务端:xuegod63.cn   IP:192.168.1.63

Samba客户端:xuegod64.cn   IP:192.168.1.64

1:关闭iptables #很重要

2:关闭selinux

二:实验目标

1、samba服务器概述

2、samba服务器配置文件

3、实战,举例

三:实验代码

第一块:Samba服务概述:

    Samba 最先在Linux Windows 两个平台之间架起了一座桥梁,正是由于Samba 的出现,我们可以在Linux 系统和Windows 系统之间互相通信,比如拷贝文件、实现不同操作系统之间的资源共享等等,我们可以将其架设成一个功能非常强大的文件服务器,也可以将其架设成打印服务器提供本地和远程联机打印。

 

Samba 应用环境:

文件和打印机共享:文件和打印机共享是Samba 的主要功能,SMB 进程实现资源共享,将文件和

打印机发布到网络之中,以供用户可以访问。

身份验证和权限设置:smbd 服务支持user mode domain mode 等身份验证和权限设置模式,

通过加密方式可以保护共享的文件和打印机。

端口号 139 和 445

    在早期,SMB 运行于NBT 协议(NetBIOS over TCP/IP)上,使用UDP 协议的137138 TCP 协议的139 端口。NetBIOS是Network Basic Input/Output System的简称,网络基本输入/输出系统协议。协议,一般指用于局域网通信的一套API是由IBM公司开发。主要作用:通过NETBIOS协议获得计算机名称,然后把计算机名解析为对应IP地址

模式: C/S 模式

 

Samba 常规服务器配置---基本的Samba服务器的搭建流程主要分为四个步骤:

[1]编辑主配置文件smb.conf,指定需要共享的目录,并为共享目录设置共享权限。

[2]、在smb.conf 文件中指定日志文件名称和存放路径。

[3]、设置共享目录的本地系统权限samba共享权限

[4]、重新加载配置文件或重新启动smb 服务,使用配置生效

 

1:Samba安装与启动

1)安装Samba:服务器端:

[root@xuegod63 ~]# rpm -ivh /mnt/Packages/samba-3.5.10-114.el6.x86_64.rpm

#该包为Samba 服务的主程序包。

[root@xuegod64 ~]# rpm -ivh /mnt/Packages/samba-client-3.5.10-114.el6.x86_64.rpm
#该包为Samba 的客户端工具,是连接服务器和连接网上邻居的客户端工具并包含其测试工具

2)服务启动

[root@xuegod63 ~]#service smb start

[root@xuegod63 ~]#chkconfig --level 3 smb on #运行级别3 自动加载

chkconfig --level 3 smb off #运行级别3 不自动加载

3)查看端口:

[root@xuegod63 ~]# netstat -antup | grep smb

tcp        0      0 :::139            :::*             LISTEN      3086/smbd           

tcp        0      0 :::445            :::*             LISTEN      3086/smbd     

 

 

2:samba配置文件详解

samba.conf 配置简介

  smb.conf 文件的开头部分为samba 配置简介,告诉我们smb.conf 文件的作用及相关信息。

smb.conf 中还有以;”开头,这些都是samba 配置的格式范例,默认是不生效滴,可以通过

去掉前面的;”并加以修改来设置想使用的功能。

下面我们说下[global]全局配置中常用字段及设置方法:

1: 设置samba 服务器所在工作组或域名

       workgroup = xuegod.cn  #工作组,随便设置

2: 服务器描述,服务器描述实际上类似于备注信息,

设置samba 描述信息为xuegod.cn Samba Server  ”。

        server string = xuegod.cn Samba Server  #samba服务器描述

3: 设置samba 服务器安全模式。常见模式有两种:share 安全级别模式和user 安全级别模式

samba 服务器有shareuserserverdomain AD活动目录 五种安全模式。 

 

  1share 安全级别模式

     客户端登录samba 服务器,不需要输入用户名和密码就可以浏览samba 服务器的资源,适用于公

共的共享资源,安全性差,需要配合其他权限设置,保证samba 服务器的安全性。

  2user 安全级别模式

     客户端登录samba 服务器,需要提×××法帐号和密码,经过服务器验证才可以访问共享资源,服

务器默认为此级别模式。

  3) Share Definitions 共享服务的定义

[homes]为特殊共享目录,表示用户主目录。

[printers]表示共享打印机。

4:[share]  #设置共享名

        comment = Home Directories  #对共享名的描述

        browseable = yes   #是否允许查看此共享内容 。如果是否,后期通过绝对路径,可以查看到。

        path = /tmp/mysql      #共享路径,写绝对路径

        public = yes  #允许匿名查看

        readonly = yes

5:设置访问用户

   如果共享资源存在重要数据的话,需要对访问用户审核,我们可以使用valid users 字段进行设置

格式:

valid users = 用户名

valid users = @组名

 

6:设置目录只读

共享目录如果限制用户的读写操作,我们可以通过readonly 实现哈~

格式:

readonly = yes #只读

readonly = no #读写

 

7:设置目录可写

   如果共享目录允许用户写操作,可以使writable write list 个字段进行设置

writable 格式:

writable = yes #读写

writable = no #只读

write list 格式:

write list = 用户名

write list = @组名

 

8:hosts allow  hosts deny 字段的使用

hosts allow #字段定义允许访问的客户端

hosts deny #字段定义禁止访问的客户端

 

这里我们添加hosts deny hosts allow 字段

hosts deny = 192.168.0.0 #表示禁止所有来自192.168.0.0/24 网段的IP 地址访问

hosts allow = 192.168.0.24 #表示允许192.168.0.24 这个IP 地址访问

注意:host deny hosts allow 字段同时出现并定义滴内容相互冲突时,hosts allow 优先。

 

第二块:修改配置文件,实战举例

1:匿名共享:

    公司现在用一个工作组xuegod.cn 需要添加samba服务器作为文件服务器,并发布共享目

 /share,共享名为share,这个共享目录允许所有公司员工访问。

 

[root@xuegod63 ~]# vim /etc/samba/smb.conf   

[global]

        workgroup = xuegod.cn

        server string =xuegod.cn Server Version %v

        log file = /var/log/samba/log.%m

        max log size = 50

        security = share

        passdb backend = tdbsam

        load printers = yes

        cups options = raw

 

#[homes] #由于是匿名登录,所以不用给其宿主目录,避免占用系统资源以下的配置就没有任何效果。

        comment = Home Directories

        browseable = no

        writable = yes

 

[share]#共享名为share

        comment = All Printers

        path = /share

        browseable = yes

        guest ok = no #不允许用户在上面操作

        writable = yes

        public=yes                                                        

[root@xuegod63 ~]# mkdir /share

[root@xuegod63 share]# cp /etc/passwd /share/

[root@xuegod63 share]# mkdir mulu

[root@xuegod63 share]# touch a.txt

[root@xuegod63 samba]# service smb reload

 

此服务的使用方法

windows:   windows+R  ,打开一个运行窗口


wKiom1hEKV2hgfErAAAruN4GcAQ625.png

wKioL1hEKV2zBJ4pAAArMRE1ZQU503.png

wKioL1hEKV3xSpmlAABd0pbjR1E043.png

 

Linux:

 [root@xuegod64 ~]# smbclient -L 192.168.1.63

Enter root's password:  #密码为空,直接回车

wKioL1hEKWmRXeGVAABi5qBN7r8744.png 

 

2:通过用户名和密码共享文件。

公司想把/sales  共享出去,只有知道用户名和密码的销售部人员可以看这个共享。

分析:

为了公司系统安全起见,公司给销售部人员的账号密码是不能登录系统的,只会给销售部人员一个samba共享账号和密码的,切这个密码是不能和此账号登录系统的密码一样的。

大概步骤:

1:先指定存放密码的文件位置

2:将全局配置中security 设置为user 安全级别,

3::设置共享目录

4:设置权限

5:重启并测试

 

 

注意:一定要先指定共享用户存放密码的文件位置:

1:修改samba 主配置文件smb.conf

root@xuegod63 ~]# vim /etc/samba/smb.conf   

改: passdb backend = tdbsam

为: passdb backend = smbpasswd

     smb passwd file = /etc/samba/smbpasswd

wKiom1hEKXazGDZuAAAeS_YgwbA902.png 

2::添加销售部用户和并添加相应samba 帐号

    使用groupadd 命令添加sales 组,然后执行useradd 命令和passwd 命令添加销售部员工的帐号

及密码。

1)添加销售部用户和

[root@xuegod63 samba]# groupadd sales

[root@xuegod63 samba]# useradd -g sales sale1

[root@xuegod63 samba]# useradd -g sales sale2

[root@xuegod63 samba]# id sale2

uid=501(sale2) gid=500(sales) groups=500(sales)

 

2)为销售部成员添加相应samba 帐号及设置密码

[root@xuegod63 samba]# smbpasswd -a sale1

[root@xuegod63 samba]# smbpasswd -a sale2

New SMB password:1234

Retype new SMB password:1234

startsmbfilepwent_internal: file /etc/samba/smbpasswd did not exist. File successfully created. 

Added user sale2.

分析:在为此账户创建smb共享密码时,会先查看先前设置的共享用户的密码位置,发现没有这个文件夹,然后自动创建这个文件夹。

 

[root@xuegod63 share]# cat /etc/samba/smbpasswd

sale1:500:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:7CE21F17C0AEE7FB9CEBA532D0546AD6:[U          ]:LCT-57DFF2F4:

sale2:501:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:7CE21F17C0AEE7FB9CEBA532D0546AD6:[U          ]:LCT-57DFF2FB:

 

3:修改samba 主配置文件smb.conf

1设置共享目录:

oot@xuegod63 samba]# vim smb.conf

 

wKiom1hEKYfThh2KAABBsrHdh28110.png 

2)创建共享目录:

[root@xuegod63 Desktop]# mkdir /sales

[root@xuegod63 Desktop]# cp /etc/passwd !$

cp /etc/passwd /sales

 

4:重新加载配置

[root@xuegod63 samba]# service smb restart

Shutting down SMB services:                                [  OK  ]

Starting SMB services:                                     [  OK  ]

 

5:测试:输入销售部的帐号及密码进行登录

 

用户 sale1   密码:1234

 

 

wKiom1hEKarilQ9qAAA4bWnzmfQ155.png

wKiom1hEKavDt0LcAABQiVd8gS0800.png

wKioL1hEKauzrej0AAAzDtkO89g275.png


 

#样销售部成员sale1就可以进行访问sales 共享目录下的数据了这里除了看到sales的共享目录,还能看到用户的属主目录。

 

 

3:通过用户名和密码共享文件。

      公司新出产品,想要把产品信息/tmp/users文件夹共享给部门员工了解下,且共享名为users,员工中的组长具有可读可写和删除权限,其他员工只能读,不能写和删除。将zy2账号为组长用,其余为员工用。

注意:将上一实验中的第一项修改内容进行恢复再实验

1:添加系统用户并设置密码和设置用户登录共享密码

[root@xuegod63 tmp]# useradd -s /sbin/nologin zy1

[root@xuegod63 tmp]# useradd -s /sbin/nologin zy2

#创建两个登录samba服务器的用户,为了系统安全,这两个不用户是不能登录系统的。

[root@xuegod63 tmp]# echo 123456 | passwd --stdin zy1

[root@xuegod63 tmp]# echo 123456 | passwd --stdin zy2

#设置的用户登录系统的密码是可有可无的

[root@xuegod63 tmp]# pdbedit -a -u zy1

new password:12345

retype new password:12345

[root@xuegod63 tmp]# pdbedit -a -u zy2

new password:1234567

retype new password:1234567

#将用户成为Samba共享用户,且密码不同

 

2:修改配置文件

[root@xuegod63 samba]# vim smb.conf

[global]

        workgroup = MYGROUP

        server string = Samba Server Version %v

        log file = /var/log/samba/log.%m

        max log size = 50

        security = user #安全级别为需要用户密码登录

        passdb backend = tdbsam

        load printers = yes

        cups options = raw

 

[homes]

        comment = Home Directories

        browseable = yes #在浏览中可以看到共享用户的宿主目录,

        writable = yes #在宿主目录中具有可写权限

 

[users] #共享文件的共享名

        comment = All Printers

        path = /tmp/users #共享目录

        browseable = yes @在浏览中是可以看不到共享文件的

        read only = yes #对于共享文件中只具有只读的权限

        valid users = zy1, zy2 #共享用户

        write list = zy2 #共享用户中的某个用户的另加权限

 

3:修改贡献文件的权限,改为执行权限

[root@xuegod63 sales]# cd /tmp/

[root@xuegod63 tmp]# mkdir users

[root@xuegod63 tmp]# cp /etc/passwd !$

cp /etc/passwd users

[root@xuegod63 samba]# chmod 777 /tmp/users/

[root@xuegod63 samba]# service smb restart

测试:

输入:\\192.168.1.63

用户 zy1  密码:1234

 

wKioL1hEKcSQRWPEAAA4bWnzmfQ355.png

wKiom1hEKcWSL6AIAAA3yWcN1yY468.png

wKioL1hEKcXgfNSFAAA09msajRM620.png

wKiom1hEKcaRuZ0dAACfi0vzRtM983.png

 

 

总结:账户zy1有自己的属主目录,可以在自己的属主目录中创建新的文件,并且可以进行写,但是不能再共享文件中修改,或删除这里面的任何文件。所以此用户在共享文件夹中是只有只读权限的。

 

 

wKioL1hEKdfDjZ16AAAbxwTm1SE110.png 

#在运行CMD中清除之前用户登录的规则,并让其他用户登录

wKiom1hEKh_g-V1nAAA2cPZm0-I413.png

wKioL1hEKh-Bj1_-AAAy_QHyIUU204.png

wKiom1hEKh_AkrmqAABEIl30fNU414.png

wKiom1hEKh_yLISrAABLPBJrlbs299.png





 

 

 

#员工中的组长zy2不仅可以在自己的属主目录中创建文件夹,写文件,还能在共享文件中创建新的文件夹,写文件以及删除文件等。图中可以看出passwd文本已近被删除了,还创建了新的文件夹。因此此用户组长具有可读可写删除修改等权限。