文件共享服务之samba 的配置与应用

SMB （Service  Message Block，服务信息块）：局域网上共享文件夹/打印机的一种协议。既可以用在TCP/IP之上，亦可以在其他网络协议之上。

提供两种服务：文件共享服务  smbd

              名称解析服务  nmbd

进程：winbindd  将linux加入到windows 域中，使用windows域中的资源。

软件包：samba（服务器端），samba-client（客户端），samba-common（额外组件）

samba-swat  基于web接口，提供samba服务器配置管理。

samba-client  samba-common  默认已经安装

主配置文件：/etc/samba/smb.conf

启动脚本：/etc/init.d/smb

语法检查工具：testparm

端口：137 （向别人提供服务 服务器端） 提供netbios服务

      138 （接受别人服务 客户端）     提供netbios服务

      139  (文件传输)  445（文件传输）

主配置文件相关参数：

[global]

        workgroup = MYGROUP          //** 工作组

        server string = Samba Server Version %v  //** 说明信息

        interfaces = lo eth0 192.168.12.2/24 192.168.13.2/24   //**定义监听接口

        hosts allow = 127. 192.168.12. 192.168.13.    //** ACL 白名单

        log file = /var/log/samba/%m.log  //** 定义日志

        security = user    //** 安全级别 默认 user 

安全等级：share  不用账号和密码可以直接登录，最不安全。

           user   需要输入有效地账号和密码，通过验证后才能使用服务器的共享资源。

          server  与user等级，也需要输入有效地账号和密码，但密码的验证会由另一

               台SMB服务器负责，必须指定口令服务器，即“password server”选项。

[homes]

        comment = Home Directories     //**注释信息

        browseable = no               //** 是否可被浏览

        writable = yes                 //** 是否可写

;       valid users = %S               //** 哪些用户可以使用此类共享

;       valid users = MYDOMAIN\%S   

[printers]

      printable = yes         //** 标识一个打印设备

下面就来共享一个目录：

[root@mail samba]# mkdir /share

编辑/etc/samba/smb.conf 添加一个共享目录

[tools]

  comment = Public Software

  path = /share

  browseable = yes

  writable = yes

  public = yes         //**允许所有人访问

保存退出。

添加samba用户：

smbpasswd    -a  添加一个用户

             -d  禁用一个用户

             -e  启用用户

             -x  删除用户

PS：Samba要求来访问的用户必须是系统账号，但是密码必须是samba提供的密码。

[root@mail samba]# setenforce 0

为用户添加写权限：

[root@mail samba]# setfacl -m u:lucy:rwx /share

只允许某些用户有写权限：

编辑主配置文件

[tools]

  comment = Public Software

  path = /share

  browseable = yes

  write list = lucy     //** 如果允许一组用户有写权限  则 write list = @develop

  public = yes

为组添加/share目录的写权限：

[root@mail samba]# setfacl -m g:develop:rwx /share/

在SElinux开启的情况下允许用户有写权限：

首先改变目录的标签：

[root@mail samba]# chcon -R -t samba_share_t /share

[root@mail samba]# ls -dZ /share

drwxrwxr-x+ root root root:object_r:samba_share_t      /share

开放samba家目录的访问权限：

[root@mail samba]# setsebool -P use_samba_home_dirs 1

[root@mail samba]# setsebool -P samba_enable_home_dirs 1

利用smbclient访问共享资源：

列出目标主机上所有可以访问的共享资源

[root@mail samba]# smbclient -L //192.168.0.39

[root@mail samba]# smbclient -L //192.168.0.39 -U lucy%lucy    //** 以某个用户身份来查看

访问共享目录：

[root@mail samba]# smbclient  //192.168.0.39/tools  -U lucy

将远端共享目录挂载到本地主机目录下

[root@mail ~]# mount -t cifs //192.168.0.39/share /samba -o username=lucy

设置开机设置自动挂载

编辑/etc/fstab

//192.168.0.181/tools      /mnt       cifs        credentials=/etc/samba/cred   0  0

credentials=/etc/samba/cred    //** 验证信息存放位置

建立cred文件：

uername=lucy

password=lucy

实现samba的访问控制功能

编辑主配置文件：

    hosts allow = 127. 192.168.0.      line 81

设置iptables规则：

[root@mail ~]# iptables -t filter -A INPUT -s 192.168.0.1 -d 192.168.0.39 -p tcp -m multiport --dports 139,445 -j ACCEPT

[root@mail ~]# iptables -t filter -A INPUT -s 192.168.0.1 -d 192.168.0.39 -p udp -m multiport --dports 137,138 -j ACCEPT

[root@mail ~]# iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d 192.168.0.39 -p tcp -m multiport --dports 139,445 -j REJECT

[root@mail ~]# iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d 192.168.0.39 -p udp -m multiport --dports 137,138 -j REJECT