目录

一、samba 概述

1.1 samba 介绍

1.2  Samba特点

1.3 samba的主要应用

1.4  samba 监听端口

1.5  samba 进程

1.6   samba 安全级别

1.7  samba 配置文件 

1.8 常用配置文件参数

  二、samba服务搭建

2.1  安装服务

2.2  启动服务

2.3  创建用户 

2.4   pdbebit 参数说明 

2.5   修改配置文件 

2.6  创建共享文件夹 

编辑

 2.7  设置samba用户登陆密码 

2.8  客户端验证

三、总结 


一、samba 概述

1.1 samba 介绍

Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源。

1.2  Samba特点

smaba最大的特点就是可以用于linux和windows之间进行文件共享和打印机共享samba不仅仅可以用于linux和windows之间
samba还可以用于两台linux之间共享
由于linux平台诞生了一个更好的工具,nfs网络文件共享系统,专门用于linux之间文件数据共享●因此samba更多是使用linux和windows之间

1.3 samba的主要应用

  1. 文件共享(最主要作用)
  2. 打印服务器
  3. samba登陆时身份验证
  4. 由于samba基于Netbios,所以可以进行 windows的主机名解析

1.4  samba 监听端口

TCP

UDP

139 | 445

137 | 138

  • tcp 端口相对应的服务是 smbd 服务,其作用是提供对服务器中文件、打印资源的共享访问
  • udp 端口相对应的服务是 nmbd 服务,其作用是提供基于 NetBIOS 主机名称的解析

1.5  samba 进程

进程

对应

nmbd

对应 netbios

smbd

对应 cifs 协议

winbindd + ldap

对应 Windows AD 活动目录

1.6   samba 安全级别

Samba 服务器的安全级别有三个,分别是 user,server,domain

安全级别

作用

user

基于本地的验证

server

由另一台指定的服务器对用户身份进行认证

domain

由域控进行身份验证

  • 以前的 samba 版本支持的安全级别有四个,分别是 share,user,server,domain
  • share 是用来设置匿名访问的,但现在的版本已经不支持 share 了,但是还是可以实现匿名访问的只是配置方式变了

1.7  samba 配置文件 

samba 三大组成 

                                                  作用

[global]  

全局配置,此处的设置项对整个 samba 服务器都有效

[homes]

宿主目录共享设置,此处用来设置 Linux 用户的默认共享,对应用户的宿主目录。 当用户访问服务器中与自己用户名同名的共享目录时,通过验证后将会自动映射到该用户的宿主目录中

[printers] 

打印机共享设置

1.8 常用配置文件参数

参数 

                            作用

workgroup 

 表示设置工作组名称

server string

表示描述 samba 服务器

security 

表示设置安全级别,其值可为 share、user、server、domain

passdb backend

表示设置共享帐户文件的类型,其值可为 tdbsam(tdb数据库文件)、ldapsam(LDAP目录认证)、smbpasswd(兼容旧版本 samba 密码文件)

comment

表示设置对应共享目录的注释,说明信息,即文件共享名

browseable

表示设置共享是否可见

writable 

表示设置目录是否可写

path 

表示共享目录的路径

guest ok

表示设置是否所有人均可访问共享目录

public

表示设置是否允许匿名用户访问

write list

表示设置允许写的用户和组,组要用 @ 表示,例如 write list = root,@root

valid users 

设置可以访问的用户和组,例如 valid users = root,@root

hosts deny 

设置拒绝哪台主机访问,例如 hosts deny = 192.168.10.100

hosts allow 

设置允许哪台主机访问,例如 hosts allow = 192.168.10.200

printable  

表示设置是否为打印机

   
   
    
    
    
   
   
 

  二、samba服务搭建

实验目的

在linux虚拟机上(centos7环境)搭建一个samba服务并且在windows客户端访问

2.1  安装服务

yum -y install samba

windows怎么做samba_服务器

扩展知识:

yum list samba            //列出软件包的信息
yum remove samba          //卸载软件包
yum check-update samba    //检查是否有可更新的软件包
yum update samba          //更新samba软件包

2.2  启动服务

systemctl stop firewalld   关闭防火墙
setenforce 0

systemctl start smb.service
systemctl enable smb.service

windows怎么做samba_windows怎么做samba_02

2.3  创建用户 

groupadd test
useradd -M lisi -s /sbin/nologin/ -g test
useradd -M zhangsan -s /sbin/nologin/ -g test
 
id lisi
id zhangsan

windows怎么做samba_服务器_03

2.4   pdbebit 参数说明 

-a, --create                       新建samba用户
  -r, --modify                       修改samba用户
  -x, --delete                       删除samba用户
  -L, --list                         列出全部samba用户,读取passdb.tdb数据库文件
  -v, --verbose                      显示详细信息
  -c, --account-control=STRING       账户控制值
  -w, --smbpasswd-style              以smbpasswd格式输出
  -u, --user=USER                    使用的用户
  -N, --account-desc=STRING          设置账户描述
  -f, --fullname=STRING              设置全名
  -h, --homedir=STRING               设置家目录
  -D, --drive=STRING                 设置家设备
  -S, --script=STRING                设置登陆脚本
  -p, --profile=STRING               设置配置文件路径
  -I, --domain=STRING                设置用户域名
  -U, --user SID=STRING              设置用户SID或RID
  -M, --machine SID=STRING           设置设备SID或RID
  -m, --machine                      账户是一个设备账户
  -b, --backend=STRING               使用不同的passdb作为默认后端
  -i, --import=STRING                指定后段导入用户账户
  -e, --export=STRING                导出用户账户到指定后端
  --policies-reset                   恢复默认策略
  -P, --account-policy=STRING        帐户策略的值(如最大密码有效期)
  -C, --value=LONG                   设置账号策略值
  --force-initialized-passwords      强制初始化passdb后端
  -z, --bad-password-count-reset     重置错误密码
  -Z, --logon-hours-reset            重置登陆时间
  --time-format=STRING               时间参数的格式
  -t, --password-from-stdin          从标准输入获取密码
  -K, --kickoff-time=STRING          设置开始时间
  --set-nt-hash=STRING               从nt-hash设置密码
  -d, --debuglevel=DEBUGLEVEL        设置debug级别
  -s, --configfile=CONFIGFILE        使用备用配置文件
  -l, --log-basename=LOGFILEBASE     设置日志文件的基本名称
  -V, --version                      输出版本号
  --option=name=value                从命令行设置smb.conf选项
  -?, --help                         显示帮助信息
  --usage                            显示简要的使用信息

2.5   修改配置文件 

编辑配置文件,添加一个以test作为网络共享文件名的共享目录。

vim /etc/samba/sbm.conf
 
[test]                 #共享文件名称(也就是客户端访问时可以看到的那个名字)		
        comment = this is test        #共享文件夹的描述
        path = /home/ceshi             #共享文件夹路径
        public = yes                    #是否允许guest账户访问
        writable =yes                #是否有写权限
        directory mask = 0777        #默认创建目录权限
        create mask = 0777             #默认创建文件权限 
        valid users = @test,root  #设置允许访问共享目录的用户@后跟组名,不写此行就对所有用户开放
        write list = @test,root        #设置有写权限的用户@后面跟的是组名
        browseable = yes                 #该指定共享目录可浏览
        available = yes                      #该指定共享资源可使用

windows怎么做samba_linux_04

windows怎么做samba_linux_05

  testparm可以用来检测配置文件中是否有语法错误

windows怎么做samba_服务器_06

2.6  创建共享文件夹 

mkdir /home/njzb
cd njzb/
echo "hello" > 1.txt
mkdir yy
chmod -R 777 /home/njzb

windows怎么做samba_服务器_07

 

windows怎么做samba_linux_08

systemctl  restart smb.service 启动服务

systemctl  reload smb.service 加载配置文件

windows怎么做samba_linux_09

 2.7  设置samba用户登陆密码 

smbpasswd -a lisi       # 将本地用户跟samba用户进行映射
smbpasswd -a zhangsan
 
pdbedit -a -u lisi
pdbedit -a -u zhangsan
 
pdbedit -L            #查看加入samba服务的用户

windows怎么做samba_windows怎么做samba_10

windows怎么做samba_运维_11

windows怎么做samba_运维_12

2.8  客户端验证

win+R \\192.168.111.15

windows怎么做samba_运维_13

windows怎么做samba_服务器_14

 

windows怎么做samba_windows怎么做samba_15

在客户端上创建文件测试

windows怎么做samba_Server_16

 测试成功

windows怎么做samba_windows怎么做samba_17

扩展:

Samba的主配置文件为/etc/samba/smb.conf

主配置文件由两部分构成

    Global Settings (55-245行)

  该设置都是与Samba服务整体运行环境有关的选项,它的设置项目是针对所有共享资源的。

    Share Definitions (246-尾行)

  该设置针对的是共享目录个别的设置,只对当前的共享资源起作用。

全局参数:

#==================Global Settings ===================
[global]

config file = /usr/local/samba/lib/smb.conf.%m
说明:config file可以让你使用另一个配置文件来覆盖缺省的配置文件。如果文件不存在,则该项无效。这个参数很有用,可以使得samba配置更灵活,可以让一台 samba服务器模拟多台不同配置的服务器。比如,你想让PC1(主机名)这台电脑在访问Samba Server时使用它自己的配置文件,那么先在/etc/samba/host/下为PC1配置一个名为smb.conf.pc1的文件,然后在 smb.conf中加入:config file = /etc/samba/host/smb.conf.%m。这样当PC1请求连接Samba Server时,smb.conf.%m就被替换成smb.conf.pc1。这样,对于PC1来说,它所使用的Samba服务就是由 smb.conf.pc1定义的,而其他机器访问Samba Server则还是应用smb.conf。

workgroup = WORKGROUP
说明:设定 Samba Server 所要加入的工作组或者域。

server string = Samba Server Version %v
说明:设定 Samba Server 的注释,可以是任何字符串,也可以不填。宏%v表示显示Samba的版本号。

netbios name = smbserver
说明:设置Samba Server的NetBIOS名称。如果不填,则默认会使用该服务器的DNS名称的第一部分。netbios name和workgroup名字不要设置成一样了。

interfaces = lo eth0 192.168.12.2/24 192.168.13.2/24
说明:设置Samba Server监听哪些网卡,可以写网卡名,也可以写该网卡的IP地址。

hosts allow = 127. 192.168.1. 192.168.10.1
说明:表示允许连接到Samba Server的客户端,多个参数以空格隔开。可以用一个IP表示,也可以用一个网段表示。hosts deny 与hosts allow 刚好相反。
例如:hosts allow=172.17.2.EXCEPT172.17.2.50
表示容许来自172.17.2.*的主机连接,但排除172.17.2.50
hosts allow=172.17.2.0/255.255.0.0
表示容许来自172.17.2.0/255.255.0.0子网中的所有主机连接
hosts allow=M1,M2
表示容许来自M1和M2两台计算机连接
hosts allow=@pega
表示容许来自pega网域的所有计算机连接

max connections = 0
说明:max connections用来指定连接Samba Server的最大连接数目。如果超出连接数目,则新的连接请求将被拒绝。0表示不限制。

deadtime = 0
说明:deadtime用来设置断掉一个没有打开任何文件的连接的时间。单位是分钟,0代表Samba Server不自动切断任何连接。

time server = yes/no
说明:time server用来设置让nmdb成为windows客户端的时间服务器。

log file = /var/log/samba/log.%m
说明:设置Samba Server日志文件的存储位置以及日志文件名称。在文件名后加个宏%m(主机名),表示对每台访问Samba Server的机器都单独记录一个日志文件。如果pc1、pc2访问过Samba Server,就会在/var/log/samba目录下留下log.pc1和log.pc2两个日志文件。

max log size = 50
说明:设置Samba Server日志文件的最大容量,单位为kB,0代表不限制。

security = user
说明:设置用户访问Samba Server的验证方式,一共有四种验证方式。
1. share:用户访问Samba Server不需要提供用户名和口令, 安全性能较低。
2. user:Samba Server共享目录只能被授权的用户访问,由Samba Server负责检查账号和密码的正确性。账号和密码要在本Samba Server中建立。
3. server:依靠其他Windows NT/2000或Samba Server来验证用户的账号和密码,是一种代理验证。此种安全模式下,系统管理员可以把所有的Windows用户和口令集中到一个NT系统上,使用 Windows NT进行Samba认证, 远程服务器可以自动认证全部用户和口令,如果认证失败,Samba将使用用户级安全模式作为替代的方式。
4. domain:域安全级别,使用主域控制器(PDC)来完成认证。

passdb backend = tdbsam
说明:passdb backend就是用户后台的意思。目前有三种后台:smbpasswd、tdbsam和ldapsam。sam应该是security account manager(安全账户管理)的简写。
1.smbpasswd:该方式是使用smb自己的工具smbpasswd来给系统用户(真实用户或者虚拟用户)设置一个Samba密码,客户端就用这个密码来访问Samba的资源。smbpasswd文件默认在/etc/samba目录下,不过有时候要手工建立该文件。
2.tdbsam: 该方式则是使用一个数据库文件来建立用户数据库。数据库文件叫passdb.tdb,默认在/etc/samba目录下。passdb.tdb用户数据库 可以使用smbpasswd –a来建立Samba用户,不过要建立的Samba用户必须先是系统用户。我们也可以使用pdbedit命令来建立Samba账户。pdbedit命令的 参数很多,我们列出几个主要的。
  pdbedit –a username:新建Samba账户。
  pdbedit –x username:删除Samba账户。
  pdbedit –L:列出Samba用户列表,读取passdb.tdb数据库文件。
  pdbedit –Lv:列出Samba用户列表的详细信息。
  pdbedit –c “[D]” –u username:暂停该Samba用户的账号。
  pdbedit –c “[]” –u username:恢复该Samba用户的账号。
3.ldapsam:该方式则是基于LDAP的账户管理方式来验证用户。首先要建立LDAP服务,然后设置“passdb backend = ldapsam:ldap://LDAP Server”

encrypt passwords = yes/no
说明:是否将认证密码加密。因为现在windows操作系统都是使用加密密码,所以一般要开启此项。不过配置文件默认已开启。

smb passwd file = /etc/samba/smbpasswd
说明:用来定义samba用户的密码文件。smbpasswd文件如果没有那就要手工新建。

username map = /etc/samba/smbusers
说明:用来定义用户名映射,比如可以将root换成administrator、admin等。不过要事先在smbusers文件中定义好。比如:root = administrator admin,这样就可以用administrator或admin这两个用户来代替root登陆Samba Server,更贴近windows用户的习惯。

guest account = nobody
说明:用来设置guest用户名。

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
说明:用来设置服务器和客户端之间会话的Socket选项,可以优化传输速度。

domain master = yes/no
说明:设置Samba服务器是否要成为网域主浏览器,网域主浏览器可以管理跨子网域的浏览服务。

local master = yes/no
说明:local master用来指定Samba Server是否试图成为本地网域主浏览器。如果设为no,则永远不会成为本地网域主浏览器。但是即使设置为yes,也不等于该Samba Server就能成为主浏览器,还需要参加选举。

preferred master = yes/no
说明:设置Samba Server一开机就强迫进行主浏览器选举,可以提高Samba Server成为本地网域主浏览器的机会。如果该参数指定为yes时,最好把domain master也指定为yes。使用该参数时要注意:如果在本Samba Server所在的子网有其他的机器(不论是windows NT还是其他Samba Server)也指定为首要主浏览器时,那么这些机器将会因为争夺主浏览器而在网络上大发广播,影响网络性能。
如果同一个区域内有多台Samba Server,将上面三个参数设定在一台即可。

os level = 200
说明:设置samba服务器的os level。该参数决定Samba Server是否有机会成为本地网域的主浏览器。os level从0到255,winNT的os level是32,win95/98的os level是1。Windows 2000的os level是64。如果设置为0,则意味着Samba Server将失去浏览选择。如果想让Samba Server成为PDC,那么将它的os level值设大些。

domain logons = yes/no
说明:设置Samba Server是否要做为本地域控制器。主域控制器和备份域控制器都需要开启此项。

logon script = %u.bat
说明:当使用者用windows客户端登陆,那么Samba将提供一个登陆档。如果设置成%u.bat,那么就要为每个用户提供一个登陆档。如果人比较多, 那就比较麻烦。可以设置成一个具体的文件名,比如start.bat,那么用户登陆后都会去执行start.bat,而不用为每个用户设定一个登陆档了。 这个文件要放置在[netlogon]的path设置的目录路径下。

wins support = yes/no
说明:设置samba服务器是否提供wins服务。

wins server = wins服务器IP地址
说明:设置Samba Server是否使用别的wins服务器提供wins服务。

wins proxy = yes/no
说明:设置Samba Server是否开启wins代理服务。

dns proxy = yes/no
说明:设置Samba Server是否开启dns代理服务。

load printers = yes/no
说明:设置是否在启动Samba时就共享打印机。

printcap name = cups
说明:设置共享打印机的配置文件。

printing = cups
说明:设置Samba共享打印机的类型。现在支持的打印系统有:bsd, sysv, plp, lprng, aix, hpux, qnx

共享参数:
#================== Share Definitions ==================
[共享名]

comment = 任意字符串
说明:comment是对该共享的描述,可以是任意字符串。

path = 共享目录路径
说 明:path用来指定共享目录的路径。可以用%u、%m这样的宏来代替路径里的unix用户和客户机的Netbios名,用宏表示主要用于[homes] 共享域。例如:如果我们不打算用home段做为客户的共享,而是在/home/share/下为每个Linux用户以他的用户名建个目录,作为他的共享目 录,这样path就可以写成:path = /home/share/%u; 。用户在连接到这共享时具体的路径会被他的用户名代替,要注意这个用户名路径一定要存在,否则,客户机在访问时会找不到网络路径。同样,如果我们不是以用 户来划分目录,而是以客户机来划分目录,为网络上每台可以访问samba的机器都各自建个以它的netbios名的路径,作为不同机器的共享资源,就可以 这样写:path = /home/share/%m 。

browseable = yes/no
说明:browseable用来指定该共享是否可以浏览。

writable = yes/no
说明:writable用来指定该共享路径是否可写。

available = yes/no
说明:available用来指定该共享资源是否可用。

admin users = 该共享的管理者
说明:admin users用来指定该共享的管理员(对该共享具有完全控制权限)。在samba 3.0中,如果用户验证方式设置成“security=share”时,此项无效。
例如:admin users =david,sandy(多个用户中间用逗号隔开)。

valid users = 允许访问该共享的用户
说明:valid users用来指定允许访问该共享资源的用户。
例如:valid users = david,@dave,@tech(多个用户或者组中间用逗号隔开,如果要加入一个组就用“@组名”表示。)

invalid users = 禁止访问该共享的用户
说明:invalid users用来指定不允许访问该共享资源的用户。
例如:invalid users = root,@bob(多个用户或者组中间用逗号隔开。)

write list = 允许写入该共享的用户
说明:write list用来指定可以在该共享下写入文件的用户。
例如:write list = david,@dave

public = yes/no
说明:public用来指定该共享是否允许guest账户访问。

guest ok = yes/no
说明:意义同“public”。

几个特殊共享:
[homes]
comment = Home Directories
browseable = no
writable = yes
valid users = %S
; valid users = MYDOMAIN\%S

[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes

[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
guest ok = yes
writable = no
share modes = no

[Profiles]
path = /var/lib/samba/profiles
browseable = no
guest ok = yes

Samba安装好后,使用testparm命令可以测试smb.conf配置是否正确。使用testparm –v命令可以详细的列出smb.conf支持的配置参数。
总结
session 1 139和445端口的使用背景
SMB(Server Message Block)协议在NT/2000中用来作文件共享,在Win-NT中,SMB运行于NBT(NetBIOS over TCP/IP)上,使用137,139(UDP),139(TCP)端口。

在win2000级以上版本中,SMB可以直接运行在tcp/ip上,而没有额外的NBT层,使用TCP 445端口。

三、总结 

session 2 两个端口的使用情况
可以在“网络连接/属性/TCPIP协议/属性/高级/WINS中设置启用或者禁用NBT(NetBIOS over TCP/IP)。
当计算机同时支持NTB和TCP/IP两种协议的时候,就面临着选择139或者445端口了。下面的情况确定会话使用的端口:
1、如果客户端启用了NBT,那么连接的时候将同时访问139和445端口,如果从445端口得到回应,那么客户端将发送RST到139端口,终止这个端口的连接,接着就从445端口进行SMB的会话了;如果没有从445端口而是从139得到回应,那么就从139端口进行会话;如果没有得到任何回应,那么SMB会话失败。

2、如果客户端禁用了NBT,他就将只从445端口进行连接。

3、如果服务器端启用NBT,那么就同时监听UDP 137、138端口和TCP139,445端口。如果禁用NBT,那么就只监听445端口了。

Samba是根据SMB协议实现的,主要用于Windows和Linux之间共享资源。139端口是在NBT协议基础上的,关闭NBT协议139就废了。而445端口是在TCP/IP协议基础上,现在网络中应该很少有不使用TCP/IP协议的了。最后如果主机两种协议同时支持的话(比如windowsxp以后的操作系统)那么共享访问时候的端口使用优先级为:445>139,所以现在UNC路径访问ip地址都是使用445端口,而访问主机名形式是使用139端口(现在基本不用了)。
关闭139端口的方法:“网络连接/属性/TCPIP协议/属性/高级/WINS中设置启用或者禁用NBT(NetBIOS over TCP/IP)
关闭445端口的方法:防火墙阻塞445端口或者禁用server服务都可以。