这是我在去年暑假实习时参考samba文档和一些博文进行整理的一篇文档。
smb.conf是samba最重要的配置文件,该文件定义了samba服务器的共享服务以及共享属性选项。下面将对该文件的语法结构及其一些重要配置选项进行简单说明。
一、语法格式
配置文件smb.conf的语法格式为:
<file> :== { <section> } EOF
<section> :== <section header> { <parameter line> }
<section header> :== ‘[‘ NAME ‘]’
<parameter line> :== NAME ‘=’ VALUE ‘\n’
<section>将配置文件smb.conf划分为不同的部分,每个部分定义了一项共享服务。共享服务名定义在’[‘和’]’内,从某个共享服务名到下一个共享服务名之间定义了该共享服务的属性选项。
每个属性选项的定义占据一行,其格式为:
名称 = 值
以第一个“=”来划分选项名和选项值,可以在某行的末尾使用续行符“\”来在下一行继续某选项的定义。在smb.conf文件中,以“;”或者“#”开头的行作为注释,在语法解析时将忽略这些注释。
注意:共享服务名和选项名不区分大小写。
在<section header>中有三个特殊的NAME,分别是global、homes和printers。下面对这三个作简单的介绍。
[global]:其属性选项是全局可见的,但是在需要的时候,我们可以在其他<section>中定义某些属性来覆盖[global]的对应选项定义。
[homes]:当客户端发起访问共享服务请求时,samba服务器就查询smb.conf文件是否定义了该共享服务,如果没有指定的共享服务<section>,但smb.conf文件定义了[homes]时,samba服务器会将请求的共享服务名看做是某个用户的用户名,并在本地的password文件中查询该用户,若用户名存在并且密码正确,则samba服务器会将[homes]这个<section>中的选项定义克隆出一个共享服务给客户端,该共享的名称是用户的用户名。
[printers]:用于提供打印服务。当客户端发起访问共享服务请求时,没有特定的服务与之对应,并且[homes]也没有找到存在的用户,则samba服务器将把请求的共享服务名当做一个打印机的名称来进行处理。
除了global、homes和printers外,我们可以在smb.conf文件中定义自定义的共享服务名。在共享服务的定义中,我们通过一些选项来定义共享服务的属性。在选项的定义中,我们可以使用一些samba预定义的变量来设置动态的选项值。下面列出几个常用的预定义变量:
%S:当前服务名
%P:当前服务的根目录
%u:当前服务的用户名
%U:当前会话的用户名
%g:当前服务用户所在的主工作组
%G:当前会话用户所在的主工作组
%H:当前服务的用户的Home目录
%V:samba的版本号
%h:运行samba服务机器的主机名
%M:客户端的主机名
%m:客户端的NetBIOS名称
%L:服务器的NetBIOS名称
%R:所采用的协议等级(CORE/COREPLUS/LANMAN1/LANMAN2/NT1)
%d:当前服务进程的ID
%I:客户端的IP
%T:当前日期和时间
二、重要选项说明
全局选项:
全局选项用于[global]的<section>选项定义中,其用于说明samba服务器的一些基本属性。其有些选项可以被其他<section>中的选项定义覆盖。
workgroup = MYGROUP
定义samba服务器所在的工作组或者域(如果设置security = domain的话)。
server string = Samba server
设定samba服务器的描述,通过网络邻居访问时可在备注中查看到该描述信息。
hosts allow = host (subnet)
设定允许访问该samba服务器的主机IP或网络,该选项的值为列表类型,不同的项目之间使用空格或逗号隔开,例如hosts allow = 192.168.3.0, 192.168.1.1,该选项设置允许主机192.168.1.1以及子网192.168.3.0/24内的所有主机访问该samba服务器。
hosts deny = host (subnet)
设定不允许访问该samba服务器的主机IP或网络,其格式与hosts allow一样。
guest account = guest
设定了游客的账号,在游客访问guest ok = yes的共享服务时,samba服务器将设置客户端以该游客账号来访问共享。
log file = MYLOGFILE
设定记录文件的位置。
max log size = size
设定记录文件的大小,单位为KB,如果设置为0则表示无大小限制。
security =
设定samba服务器的安全级,其有四种安全级别:share、user、server和domain,默认为user。关于这四种安全级别的详细信息,请查看相关文档。
password server = ServerIP
设定了用户账号认证服务器IP,其在设定security = server时有效。
encrypt passwords = yes | no
设定是否对密码进行加密。如果不对密码进行加密的话,在认证会话期间,客户端与服务器传递的是明文密码。但有些Windows系统默认情况下,不支持明文密码传输。
passdb backend = smbpasswd | tdbsam | ldapsam
设定samba服务器访问和存储samba用户账号的后端,在samba-3.0。23之前的默认值为smbpasswd,而之后的默认值为tdbsam。
smb passwd file =
设定samba的用户账号文件。对于源代码安装的samba,在samba-3.0.23之前,其默认值为/user/local/samba/private/smbpasswd;而samba-3.0.23之后,其默认值为/usr/local/samba/private/passwd.tdb。
include = smbconfFile
通过include选项可以包含其他配置文件,通过该选项和一些samba定义的变量可以设定与不同机器相关的配置。
local master = yes | no
设定该samba服务器是否试图成为本地主浏览器,默认值为yes。若设置为no,则该samba服务器永远不可能成为本地主浏览器,而设置为yes不代表其一定能成为本地主浏览器,只是让其能参与本地主浏览器的选举。
os level = N
N是一个整数,设定了该samba服务器参加本地主浏览器选举时的权重,其值越大,权重越大。os level = 0时,该服务器将失去选举的机会。
domain master = yes | no
设定samba服务器成为域浏览器。域浏览器从各个本地主浏览器处获取浏览列表,并将整个域的浏览列表传递给各个本地主浏览器。
preferred master = yes | no
设定该samba服务器是否为工作组里的首要主浏览器,如果设置为yes,则在nmbd启动时,将强制一个浏览选择。
局部选项:
局部选项为除了global外的各个<section>中的参数。其定义了共享服务的属性。
comment =
设定共享服务的描述信息。
path =
设定共享服务的路径,其中可以结合samba预定义的变量来设置。
hosts allow = host(subnet)
hosts deny = host(subnet)
与全局的hosts allow和hosts deny含义相同,其会覆盖全局的设置。
read only = yes | no
设定该共享服务是否为只读,该选项有一个同义选项writeable。
user = user(@group)
设定所有可能使用该共享服务的用户,可以使用@group来设置群组group中的所有用户账号。该选项的值为列表,不同的项目之间使用空格或逗号隔开。在设置security = share时,客户端要访问某共享服务时提供的密码会与该选项指定的所有用户进行一一配对认证,若某用户认证通过,则以该用户权限进行共享服务访问,否则拒绝客户端的访问(设置security = share不是允许游客访问,只有guest ok = yes才是允许游客访问,切记!!!)。
valid users = user(@group)
设定能够使用该共享服务的用户和组,其值的格式与user选项一样。
invalid users = user(@group)
设定不能够使用该共享服务的用户和组,其值的格式与user选项一样。
read list = user(@group)
设定对该共享服务只有读取权限的用户和组,其值的格式与user选项一样。
write list = user(@group)
设定对该共享服务拥有读写权限的用户和组,其值的格式与user选项一样。
admin list = user(@group)
设定对该共享服务拥有管理权限的用户和组,其值的格式与user选项一样。
public = yes | no
设定该共享服务是否能够被游客访问,其同义选项有guest ok。
create mode = mode
mode为八进制值,如0755,其默认值为0744。该选项指定的值用于过滤新建文件的访问权限,新建文件的默认权限将与create mode指定的值进行按位与操作,将结果再与force create mode指定的值进行按位或操作,得到的结果即为新建文件的访问权限。
force create mode = mode
mode为八进制值,默认为0000。其作用参考选项create mode。
directory mode = mode
mode为八进制值,默认为0755。该选项指定的值用于过滤新建目录的访问权限,新建目录的默认权限将与directory mode指定的值进行按位与操作,将结果再与force directory mode指定的值进行按位或操作,得到的结果即为新建目录的访问权限。
force directory mode = mode
mode为八进制值,默认为0000。该选项的作用参考选项directory mode。
force user = user
强制设定新建文件的属性onwer。若存在一个目录,其允许guest可以写,则guest就可以删除。但设定force user为其他用户,并设置create mode = 0755,则gues用户不能够删除其新建文件。
上面只是简单的介绍了一些重要的选项,并且没有讨论有关[printers]的选项说明,更多选项请man smb.conf进行查阅。
三、两个简单配置实例
share安全级:
smb.conf配置文件内容如下:
[global]
workgroup = WORKGROUP
server string = My samba server
security = share
passdb backend = smbpasswd
smb passwd file = /etc/samba/smbpasswd
[public]
comment = public share
path = /home/public
read only = no
user = user1
上述配置文件内容设置了samba服务器工作在share安全级下,当客户端要访问public共享时,提交一个访问密码,服务器将该密码与选项user中指定的user1配对,然后到文件/etc/samba/smbpasswd中查询该用户user1是否存在,以及客户端提供的密码是否正确,若正确,则允许访问,否则拒绝访问(注:user1必须是服务器的系统账号,并通过工具smbpasswd或手工添加到文件/etc/samba/smbpasswd中)。另[public]的选项中path提供的路径/home/public在服务器必须存在,否则访问失败。
user安全级:
smb.conf配置文件的内容如下:
[global]
workgroup = WORKGROUP
server string = My samba server
security = user
passdb back = smbpasswd
smb passwd file = /etc/samba/smbpasswd
[myshare]
comment = This is my share
path = /data/myshare
valid uses = user1
read only = no
samba服务器运行在user安全级下,客户端若要访问共享服务myshare,其需要提供用户名和密码,只有用户user1,并且密码正确方能访问该服务。