Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。
samba:这个套件主要包含了 SAMBA 的主要 daemon档案 ( smbd 及 nmbd )、 SAMBA 的文件档 ( document )、以及其它与 SAMBA 相关的logrotate 设定文件及开机预设选项档案等;
samba-common:这个套件则主要提供了 SAMBA 的主要设定档(smb.conf) 、 smb.conf 语法检验的测试程序 ( testparm )等等;
samba-client:这个套件则提供了当 Linux 做为SAMBA Client 端时,所需要的工具指令,例如挂载 SAMBA 档案格式的执行档 smbmount等等。
!!!!以下测试均在另一个主机上
提供cifs协议实现共享文件
yum install samba samba-common samba-client -y systemctl start smb nmb ##开启服务 systemctl enable smb nmb ##开机启动 *)测试 smbclient -L //172.25.254.133 ##匿名登陆,不需要输入密码
smb用户必须为本机用户 smbpasswd -a student ##添加smb用户 New SMB password: ##输入密码 Retype new SMB password: ##再次输入密码
pdbedit -L ##查看smb用户信息 pdbedit -x smb用户 ##删除smb用户
setsebool -P samba_enable_home_dirs on ##在selinux中设定smb用户可以访问自己的家目录
*)测试 smbclient -U student //172.25.254.133/student ##-U username 使用smb用户登陆 Enter student’s password: ##输入密码
vim /etc/samba/smb.conf ##主配置文件 [hello] ##共享名称 comment = Local Directory ##对共享目录的描述 path = /westos ##共享目录的绝对路径 mkdir /westos touch /westos/file{a..c} systemctl restart smb.service ##重启服务 (1)当共享目录为新建目录时 即path = /westos ##新建目录 semanage fcontext -a -t samba_share_t ‘/westos(/.*)?’ ##更改安全上下文 restorecon -RvvF /westos/ ##刷新安全上下文
*)测试 smbclient //172.25.254.133/hello -U student Enter student’s password: Domain=[MYGROUP] OS=[Unix] Server=[Samba 4.1.1] smb:\> ls smb: \> q ##退出
(2)当共享目录为系统建立目录 即 path = /mnt setsebool -P samba_enable_home_dirs 0 ##关闭访问家目录 setsebool -P samba_export_all_ro on ##所有只读共享 setsebool -P samba_export_all_rw on ##读写共享
*)测试 smbclient //172.25.254.133/hello -U student
(1)匿名用户访问 125 map to guest = bad user ##指定匿名用户 guest ok = yes ##允许匿名用户访问
*)测试 smbclient //172.25.254.133/hello Enter kiosk’s password: ##不用输入密码
(2)访问控制 hosts allow = 172.25.254.60 ##只允许60主机访问 hosts deny = 172.25.254.60 ##只禁止60主机访问 valid users = westos ##当前共享的有效用户为westos valid users = @westos ##当前共享的有效用户为westos组 valid users = +westos ##当前共享的有效用户为westos组
*)测试 smbclient //172.25.254.133/hello -U smbusername hosts deny = 172.25.254.60 时(只禁止60主机访问) [root@foundation60 ~]# smbclient //172.25.254.133/hello Enter kiosk’s password: Domain=[MYGROUP] OS=[Unix] Server=[Samba 4.1.1] tree connect failed: NT_STATUS_ACCESS_DENIED ##连接失败,权限被禁止
valid users = westos(当前共享的有效用户为westos)时
[root@foundation60 ~]# smbclient //172.25.254.133/hello -U westos Enter westos’s password: Domain=[MYGROUP] OS=[Unix] Server=[Samba 4.1.1] smb: > q ##westos用户可以访问 [root@foundation60 ~]# smbclient //172.25.254.133/hello -U student Enter student’s password: Domain=[MYGROUP] OS=[Unix] Server=[Samba 4.1.1] tree connect failed: NT_STATUS_ACCESS_DENIED ##student用户被拒绝
valid users = @westos(当前共享的有效用户为westos组)
student就可以访问了
(3)读写控制
*)所有用户可写 chmod o+w /mnt/ ##添加可写权限 setsebool -P samba_export_all_rw 1 ##读写共享 vim /etc/samba/smb.conf ##编辑主配置文件 writable = yes ##可写
*)设定指定用户可写 共享目录有匿名用户写权限: writable = no ##不可写 write list = student ##可写用户 write list = @student ##可写用户组 write list = +student ##可写用户组 共享目录无匿名用户写权限: chmod o-w /mnt ##设定只有超级用户可写 writable = yes admin users = westos ##共享用户以超级用户身份操作
*)测试 远程端: mount -o username=westos,password=westos //172.25.254.133/hello /mnt touch rm … 所有用户可写: 客户端: 服务器端:
设定指定用户可写: 当/mnt 匿名用户有写权限: 客户端: 服务器端:
当/mnt 匿名用户没有有写权限: 客户端: 服务器端:
服务器端: ls -l /mnt ll -d /mnt
SMB多用户挂载可以有效地限制用户的访问。
客户端: vim /root/westos ##编辑smb用户文件 username=student password=student
chmod 600 /root/westos ##使该文件只有root可读写 yum install cifs-utils -y mount -o credentials=/root/westos,multiuser,sec=ntlmssp //172.25.254.133/hello /mnt ##挂载
#credentials=/root/westos ##指定挂载时用到的用户文件 #multiuser ##支持多用户认证 #sec=ntlmssp ##认证方式为标准smb认证方式
*)测试 su - kiosk ##切换用户 cd /mnt ls ls: reading directory .: Permission denied ##因为没有smb的认证所以无法访问smb共享
cifscreds add -u westos 172.25.254.133 ##smb认证 Password: ##smb用户密码 ls /mnt/ ##此时可以查看到
