本文介绍如何通过Samba服务实现NFS文件系统以SMB协议进行文件共享,并通过POSIX ACL控制权限。
前提条件
已使用NFSv3协议挂载文件系统,详情请参见挂载NFS文件系统。
背景信息
目前有客户存在以下使用场景:在服务器上挂载NFS文件系统后,使用Samba服务将此文件系统以SMB协议共享给其他Windows用户使用。在Samba服务中,可以创建用户并拥有Windows端的用户名和密码,也拥有Linux端的用户名(与Windows端的用户名相同)和密码(可以与Windows端不同)。Samba端可以设置valid users字段控制哪些用户/群组可以访问或者读写该文件系统。对于文件级别的访问控制,Samba服务会将POSIX ACL转化为SMB权限,来控制某个用户/群组的访问权限,具体介绍可参见Setting up a Share Using POSIX ACLs。
说明 目前,ACL功能只支持华北 3(张家口)、华北 5(呼和浩特)、亚太东南 2(悉尼)、亚太东南 3(吉隆坡)和美国西部 1(硅谷)地域,并且需要通过工单提交申请后才能使用。
操作步骤
本步骤以CentOS操作系统为例,介绍如何设置POSIX ACL,并以Samba进行输出。其他的Linux操作系统的流程类似,命令稍有不同。
1. 安装Samba服务。
使用以下命令安装Samba服务端,具体操作可参见Setup file server on centos 7。
sudo yum install -y samba samba-common
2. 创建Samba用户。
本文假设创建普通用户player,属于普通用户群组players;管理员admini,属于管理员群组adminis;另外再创建一个用户anonym,属于anonym_group群组。
创建用户和群组。
sudo useradd player sudo groupadd players sudo usermod -g players player sudo useradd admini sudo groupadd adminis sudo usermod -g adminis admini sudo useradd anonym sudo groupadd anonym_group sudo usermod -g anonym_group anonym
为Samba用户创建SMB挂载密码。
sudo smbpasswd -a player sudo smbpasswd -a admini sudo smbpasswd -a anonym
3. 配置smb.conf配置文件。
安装Samba完成后,/etc/samba/smb.conf是默认的配置文件。打开/etc/samba/smb.conf,进行如下配置,重要参数说明如下所示,更多smb.conf配置选项请参见The configuration file for the Samba suite。
- path = /mnt/nfs3:/mnt/nfs3为挂载的目标地址,请根据实际情况替换。
- valid users:用于控制可以访问文件系统的用户或群组,请根据实际情况替换。
[global] server string = Samba Alibaba NAS NFS Server server role = standalone server min protocol = SMB2_10 log file = /var/log/samba/%m log level = 2 valid users = @players, @adminis, @anonym_group writable = yes [nfs3] comment = Secure File Server Share path = /mnt/nfs3
4. 启动Samba服务端Smbd。
sudo systemctl enable smb.service
sudo systemctl enable nmb.service
您也可以执行以下命令启动Samba服务端Smbd。
sudo systemctl restart smb.service
sudo systemctl restart nmb.service
5. 在Windows系统中验证Samba服务。
使用net use命令挂载Samba nfsv3文件系统。
net use * \\samba-IP\nfs3 <password> /user:<user>
挂载成功后,player、admini、anonym三个用户都可以访问该文件系统,并创建和读写目录/文件。
6. 对NAS NFSv3文件系统设置POSIX ACL权限。
sudo umask 777
sudo mkdir dir0
sudo setfacl -m g:players:r-x dir0
sudo setfacl -m g:adminis:rwx dir0
sudo setfacl -m u::--- dir0
sudo setfacl -m g::--x dir0
sudo setfacl -m o::--- dir0
sudo setfacl -d -m g:players:r-x dir0
sudo setfacl -d -m g:adminis:rwx dir0
sudo setfacl -d -m u::--- dir0
sudo setfacl -d -m g::--x dir0
sudo setfacl -d -m o::--- dir0
7. 在Windows系统中验证ACL设置结果。
- 使用admini身份挂载Samba nfsv3文件系统,在目录dir0下可以创建文件和子目录。
- 使用player身份挂载Samba nfsv3文件系统,在目录dir0下无法创建文件和子目录,但可以打开及读取文件和子目录。
- 使用anonym身份挂载Samba nfsv3文件系统,无法访问目录dir0下的文件和子目录。
Samba + NAS POSIX ACL的特性
NFS文件系统的POSIX ACL会被转化为SMB ACL在Windows系统的安全标签中显示。
可以在SMB端设置SMB ACL并转化为POSIX ACL存入NFS文件系统。
如果SMB ACL无法转化为POSIX ACL,例如在POSIX ACL中没有Deny,或者权限超过了rwx的表达能力,修改会被忽略,不起作用。
建议只在NFS端设置ACL,SMB端只作为客户端使用。
NAS NFSv3不支持锁,如果SMB端和NFS端同时有多个客户端进行读写操作,可能有一致性问题。如果有这类需求请使用Samba + NAS NFSv4 ACL。