腳本之家服務(wù)器常用軟件

快捷導(dǎo)航

Samba服務(wù)器的配置與管理教程(保姆級)

更新時間：2023年09月06日 15:35:03 作者：晚妍

在Linux中,大家聽的最多的可能就是Samba服務(wù),什么是Samba呢,下面小編就來和大家聊聊Samba服務(wù)器的配置與管理,感興趣的小伙伴可以了解一下

1、Samba服務(wù)器配置的工作流程

在Samba服務(wù)安裝完畢之后，并不是直接可以使用Windows或Linux的客戶端訪問Samba服務(wù)器，我們還必須對服務(wù)器進行設(shè)置：告訴Samba服務(wù)器將那些目錄共享出來給客戶端進行訪問。

基本的Samba服務(wù)器搭建流程主要分為四個步驟。

（1）編輯主配置文件smb.conf，指定需要共享的目錄，并未共享目錄設(shè)置共享權(quán)限。

（2）在smb.conf文件中指定日志文件名稱和存放路徑。

（3）設(shè)置共享目錄的本地系統(tǒng)權(quán)限

（4）重新加載配置文件或重新啟動SMB服務(wù)，使配置生效。

1.1 Samba工作流程

1、客戶端請求訪問Samba服務(wù)器上的共項目錄

2、Samba服務(wù)器接收到請求后，會查詢主配置文件smb.conf，看是否共享了share目錄，如果共享了則查詢客戶端是否有權(quán)限訪問。

3、Samba服務(wù)器會把本次訪問信息記錄寫在日志中，日志文件的名稱和路徑都需要我們設(shè)置。

4、如果客戶端滿足訪問權(quán)限的設(shè)置，則允許客戶端進行訪問。

2、解讀主要配置文件smb.conf

Samba的配置文件一般就放在/etc/samba目錄中。主配置文件名為smb.conf ，如果把Samba服務(wù)器比喻成一個圖書館，那么smb.conf就相當于這個圖書館的圖書總目錄，記錄著大量的共享信息和規(guī)則，是samba服務(wù)器的核心。

2.1 Global Settings

Global settings 設(shè)置為全局變量區(qū)域。全局變量區(qū)域就是我們只要在Global是進行設(shè)置，那么該設(shè)置項目就是針對所有共享資源生效的，這與我們以后需要學(xué)習(xí)的很多服務(wù)器配置很相像。

該部分以[Global]開頭

[global]
        workgroup = SAMBA			//設(shè)置工作組或域名
        security = user					//設(shè)置安全模式
        passdb backend = tdbsam
        printing = cups
        printcap name = cups
        load printers = yes
        cups options = raw

[Global]常用字段及設(shè)置方法如下

（1）設(shè)置工作組或域名稱

工作組是網(wǎng)絡(luò)中地位平等的一組計算機，可以通過設(shè)置workgroup字段來對Samba服務(wù)器所在工作組或域名進行設(shè)置。

（2）設(shè)置Samba服務(wù)器安全模式

Samba服務(wù)器一共share,user,server,domain和ads五種安全模式。

1、 share安全級別模式 ?？蛻舳说顷慡amba服務(wù)器、不需要輸入用戶名和密碼就可以瀏覽Samba服務(wù)器的資源，適用于公共的資源共享，安全性差，需要配合其他權(quán)限進行設(shè)置。保證Samba服務(wù)器的安全性。

2、 user安全級別模式 。客戶端登陸Samba服務(wù)器、需要輸入指定的用戶名和密碼才能進行瀏覽Samba服務(wù)器的資源，服務(wù)器默認為此級別模式。

3、server安全級別模式?？蛻舳诵枰獙⒂脩裘兔艽a提交到指定的一臺Samba服務(wù)器上進行驗證，如果驗證出現(xiàn)錯誤，客戶端會使用user級別訪問。

4、domain安全級別模式。如果Samba服務(wù)器加入Windows域環(huán)境中，驗證工作將由Windows域負責(zé)，domain級別的Samba服務(wù)器這是成為域的成員客戶端，并不具備服務(wù)器的特性。

2.2 客戶端訪問控制

對于Samba服務(wù)器的安全性，可以使用vliad users字段去實現(xiàn)用戶控制訪問，但是如果企業(yè)龐大且存在大量的用戶的話，這種方法操作起來就比較的麻煩。所以我們可以使用hosts allow和hosts deny兩個字段可以實現(xiàn)該功能。

hosts allow和hosts deny字段的使用

hosts allow 字段定義允許訪問的客戶端
hosts deny 字段定義禁止訪問的客戶端

Samba服務(wù)器中有個目錄為/share。需要發(fā)布該目錄成為共享目錄，定義共享目錄名為public。

3、最常用的幾個字段

（1）設(shè)置共享名。共享資源發(fā)布后，必須為每個共享目錄設(shè)置不同的共享名，給網(wǎng)絡(luò)用戶訪問時使用，并且共享名可以以原目錄名不同。

格式：
[共享名]

（2）共享資源描述。網(wǎng)絡(luò)中存在各種共享資源，為了方便用戶識別，可以為其添加備注信息，以方便用戶查看時知道共享資源的內(nèi)容是什么。

comment = 備注信息

（3）共享資源路徑。共享資源的原始完整路徑，可以使用path字段進行發(fā)布，務(wù)必正確指定。

path = 資源的絕對路徑

（4）設(shè)置匿名訪問。這只是否允許對共享資源進行匿名訪問。

public = yes    //允許匿名訪問
public = no   //不允許匿名訪問

（5）設(shè)置訪問用戶。

如果共享資源存在重要數(shù)據(jù)的話，需要對訪問用戶審核，我們可以使用valid users字段進行設(shè)置。

valid users = 用戶名
valid users = @組名
valid users = @組名，用戶名

例：samba服務(wù)器共享文件為/share/tech目錄，只允許組tech，和用戶manager訪問

comment=users   //可不加
path=/share/tech
valid users = @tech，manager

(6)設(shè)置目錄只讀。

共享目錄如果限制用戶的讀寫操作，我們可以通過read only 實現(xiàn)。

read only = yes //只讀
read only = no  //讀寫

例：samba服務(wù)器公共目錄/public存放大量共享數(shù)據(jù)，為保證目錄安全，我們只允許讀取，禁止寫入。

comment = public
path = /public
public = yes
read only = yes

(7)設(shè)置目錄可寫

如果共享目錄允許用戶寫操作，可以使用writable或write list 兩個字段進行設(shè)置。

writable = yes   //讀寫
writable = no    //只讀

write list

write list = 用戶名
write list =@組名

4、Samba服務(wù)密碼文件

samba服務(wù)器發(fā)布共享資源后，客戶端訪問samba服務(wù)器，需要提交用戶名和密碼進行身份驗證，驗證合格才可以登錄。Samba服務(wù)器為了實現(xiàn)客戶身份驗證功能，將用戶名和密碼存放在/etc/samba/smbpasswd 中，在客戶端訪問時，將用戶提交的資料與smbpasswd存放的信息進行比對，如果相同，客戶端與samba服務(wù)器的連接才能建立成功。

那如何建立Samba賬號呢 。首先我們要創(chuàng)建一個系統(tǒng)賬號，例如toto。

創(chuàng)建完成之后我們使用下方命令在samba服務(wù)中創(chuàng)建賬號

useradd toto     //創(chuàng)建系統(tǒng)賬號
passwd toto		//設(shè)置密碼
smbpasswd -a  toto  //創(chuàng)建samba服務(wù)賬號

5、Share服務(wù)器實例解析

下面我們介紹該如何配置samba的服務(wù)端，并順帶做一個項目實例

某公司需要添加samba服務(wù)器作為文件服務(wù)器，共享目錄為/share，共享名為public，這個共享目錄允許所有員工訪問。

解析：這個共享目錄允許所有員工訪問，因為我們不知道這個所有他到底是多少，所以為了方便管理，我們直接使用匿名訪問，這樣會簡單很多。

1.建立share目錄，并在其下建立測試文件

mkdir /share
toch /share/toto

2.修改samba主配置文件smb.conf

[global]
        workgroup = SAMBA
        security = user
        map to guest = bad user
        guest ok = yes
[public]
        path = /share
        browseable = yes
        public = yes

3.修改文件/share的所有者和權(quán)限

[root@localhost ~]# mkdir /share
[root@localhost ~]# chmod 777 /share/
[root@localhost ~]# chown nobody.nobody /share

4.重新加載配置文件

[root@localhost ~]# systemctl restart smb nmb

5.關(guān)閉防火墻和禁用selinux

[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0

通過以上設(shè)置，用戶就可以在不輸入賬戶和密碼的情況下直接登錄samba服務(wù)器并訪問目錄public。

6、samba服務(wù)器客戶端的配置

我們可以使用兩種不同的方法，在windows客戶端和linux客戶端之間進行登錄samba服務(wù)器

6.1 Linux客戶端訪問Samba服務(wù)器

使用smbclient命令

我們在使用smbclient時，先要確保安裝了samba-client這個軟件包。

yum install -y samba-client

smbclient可以列出目標主機共享目錄列表。格式如下：

smbclient -L 目標IP地址 -U 登錄用戶名

當我們查看IP地址為172.168.1.1的IP地址主機時，不輸入用戶的話，我們會看到以下內(nèi)容，這就是表示匿名用戶能看到的共享目錄列表。

[root@localhost ~]# smbclient -L 172.168.1.1
Enter SAMBA\root's password: 
        Sharename       Type      Comment
        ---------       ----      -------
        print$          Disk      Printer Drivers
        public          Disk      
        IPC$            IPC       IPC Service (Samba 4.10.16)
Reconnecting with SMB1 for workgroup listing.
        Server               Comment
        ---------            -------
        Workgroup            Master
        ---------            -------
        SAMBA                LOCALHOST

我們還可以使用smbclient命令行共享訪問模式瀏覽共享的資料。

smbclient命令行共享訪問模式命令格式：

smbclient //目標IP地址或主機名/共享目錄 -U 用戶名%密碼

例：當samba服務(wù)器的共享目錄為public并且用戶toto可以登錄時

smbclient //172.168.1.1/public -U toto%123456

例：當samba服務(wù)器的共享目錄為public并且匿名用戶可以登錄時

[root@localhost ~]# smbclient //172.168.1.1/public 
Enter SAMBA\root's password: 
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Tue May 30 08:56:31 2023
  ..                                  D        0  Tue May 30 08:50:38 2023
  toto                                D        0  Tue May 30 08:56:31 2023
                17811456 blocks of size 1024. 15658328 blocks available