Samba文件共享服务
- Linux系统中一种文件共享程序
- 在Windows网络环境中,主机之间进行文件和打印机共享是通过微软公司自己的SMB/CIFS网络协议实现的。SMB(Server Message Block,服务消息块)和CIFS(Common Internet File System,通过互联网文件系统)协议是微软的私有协议,在Samba项目出现之前,并不能直接与linux/UNIX系统进行通信。
- Samba是著名的开源软件项目之一,它在linux/UNIX系统中实现了微软的SMB/CIFS网络协议,从而使得跨平台文件共享变得更加容易。在部署Windows、linux/UNIX混合平台的企业环境时,选用Samba可以很好地解决不同系统之间的文件互访问题。
Samba软件包的构成:
- Samba服务的程序组件
- smbd负责为客户机提供服务器中共享资源(目录和文件等)的访问
- nmbd负责提供基于NetBIOS协议的主机名称解析,以便为Windows网络中的主机进行查询服务
- 使用netstat命令可以验证服务进程状态,其中smbd程序负责监听TCP协议的139端口(SMB协议)、445端口(CIFS协议),而nmbd服务程序负责监听UDP协议的137-138端口(NetBIOS协议)
- netstat -anptu | grep "mbd" 查看Samba运行状态
- 主配置文件smb.conf
- Samba服务idea服务的文件位于/etc/samba/目录中,其中smb.conf是主配置文件
- 在smb.conf文件中,以"#"号开始的行表示注释性的文字,以";"开始的行表示是配置样例
- grep -v "#" /etc/samba/smb.conf | grep -v ";" | grep -v "$" -->过滤标识符
/etc/samba/smb.conf 文件概述
- 主配置文件smb.conf
- [global]全局设置:对整个Samba服务器都有效
- [homes]宿主目录共享设置:设置Linux用户默认共享,对应用户的宿主目录
- [printers]打印机共享设置
Samba服务器的常见配置项及含义说明
security = user //安全级别,可用值如下:
share、user、server、domain。
[global]
workgroup = MYGROUP //所在工作组名称
server string = Samba Server Version %v //服务器描述信息
; netbios name = WORKGROUP //网络主机名
; interfaces = lo eth0 192.168.12.2/24 192.168.13.2/24 //接口地址
; hosts allow = 127. 192.168.12. 192.168.13. //允许主机地址
# logs split per machine
log file = /var/log/samba/log.%m //日志文件位置,//"%m" 变量表示客户机地址
# max 50KB per log file, then rotate
max log size = 50 //日志文件的最大容量,单位为KB
[homes]
comment = Home Directories //对共享在服务器中对应的实际路径
browseable = no //该共享目录在"网上邻居"中是否可见
writable = yes //是否可写,与read only的作用相反
; valid users = %S
; valid users = MYDOMAIN\%S
[printers]
comment = All Printers
path = /var/spool/samba //共享目录在服务器中对应的真实路径
browseable = no
guest ok = no //是否允许所有人访问,等效于"public"
writable = no
printable = yes //是否允许打印机
testparm程序
Samba服务器提供了一个配置文件检查工具---testparm程序,使用testparm工具可以对smb.conf配置文件的正确性个进行检查,如果发现有错误将会进行提醒。
可匿名访问的共享
- 可匿名访问的共享适用于公开的资源分享,一般只建议提供只读访问
- 设置匿名共享文件夹时,在主配置文件smb.conf中主要调整两个地方即可
- 可以将默认的安全级别修改为share
- 添加一段共享目录配置
需用户验证的共享
- 匿名共享虽然用起来非常方便,但因为任何人都可以访问到共享的文件数据,在某些时候可能会导致信息的泄露
- 实现步骤:
- 建立Samba用户数据库,使用pdbedit工具可以对共享用户进行管理
- 设置用户访问授权,将security安全级别提升为"user"
- 确定目录访问授权
通过Samba服务器共享本地的文件夹时,用户最终是否拥有读取、写入权限,除了需要设置用户授权以外,还需要满足一个前提条件---在服务器本机中,与共享用户同名的系统用户对发布为共享的本地文件夹(如/opt/mytools/)必须有相应的读取、写入权限。//另外,当通过共享目录上传文档时,对于共享用户所上传的文件,创建子目录的默认权限,可以分别使用配置项"directory mask"、"create mask"进行指定
命令
- pdbedit -a -u 添加一个Samba用户
- pdbedit -x -u 删除一个Samba用户
- pdbedit -L 列表查看Samba用户
- pdbedit -Lv 详细查看Samba用户
- smbpasswd -a 用户名: 是指给现有用户设置密码。而非建立用户
- 创建用户是:useradd 用户名
- 搜索/etc/samba/smbpasswd里面存放了SAMBA所有的用户。
使用命令
- cat /etc/samba/smbpasswd
- vim /etc/samba/smbpasswd
- /etc/samba/ 下没有smbpasswd
如果没有的话你就使用SMB用户创建命令来创建,这样SMBpasswd文件会自动生成。
需要注意的是,在/etc/samba/smb.conf文件对权限的设置,优先级低于Linux系统中的文件系统权限,也就是说,想要实现共享目录或者文件具有某种权限,首先必须保证该目录或者文件在文件系统中具有该权限。
共享账号映射(别名)
- 为了进一步提高Samba共享服务的安全性,除了可以对指定的共享目录设置用户授权以外,还可以采取用户映射、访问地址限制等措施
- 在使用Samba共享账号时,通常情况下,一个共享用户账号都有一个同名的系统用户账号。
- Samba服务器提供了"用户名称映射"(Username Map)机制,可以将一个共享用户映射为多个不同的名称(别名)
- Samba共享账号的映射文件默认位于/etc/samba/smbusers
- 设置好共享用户的别名记录以后,若要正常启用账号映射功能,需要修改主配置文件/etc/samba/smb.conf,添加全局配置项"username map=/etc/samba/smbusers",然后重新加载配置即可生效
访问地址限制
- 针对访问Samba服务器的客户机,可以通过"hosts allow"、"host deny"配置项进行访问限制,前者英语指定仅允许访问共享的客户机地址,后者用于指定仅拒绝访问共享的客户机地址,两种方式任选其一即可
- 访问地址限制一般应用于[global]全局配置部分,也可以应用于某个具体的共享配置段部分。限制的对象可以是主机名、IP地址或者网络段地址(省去主机部分),多个地址之间以逗号或空格进行隔离
使用smbclient访问共享文件夹
- WINDOWS: SAMBA服务器地址
- LINUX : smbclient 命令,查看及登陆使用共享
- smbclient -U sunboy //192.168.4.11/tools
- smbclient //192.168.1.108/public -N 【匿名访问】
- 改配置文件之后就检查语法,重启服务。
使用mount 挂载共享目录
mkdir /media/smbdir
mount -o username=hunter //192.168.4.11/tools /media/smbdir/
Passwd:
mount | tail -n 1
【知识补充】
- Windows中登录过共享服务器输入的用户名和密码会有记录,实验时可以在dos界面输如下命令以清除记录
- net use * /del
- 若window客户机正常访问,但linux客户机访问不了samba服务器时,查看客户机是否安装samba4-libs包
- 若linux客户机出现:mount: block device //192.168.1.108/share is write-protected, mounting read-only
- mount: cannot mount block device //192.168.1.108/share read-only 的报错信息,则要安装cifs-utils包
网络邻居是个网站还是问题出现了错误?!
- 如果是网上邻居的话,清除方式是:
- 依次点击“开始”——“运行”;
- 在打开的窗口中键入“control keymgr.dll”,回车。