Samba:使⽤ Samba 为远程客户端提供共享⽂件系统
【摘要】 1写在前面分享一些 SMB 的搭建笔记考试顺便整理理解不足小伙伴帮忙指正 对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》2SMB 简单介绍SMB协议最初由Microsoft开发,后来成为 Windows 网络中最常用的文件共享协议。S...
1写在前面
-
分享一些 SMB 的搭建笔记 -
考试顺便整理 -
理解不足小伙伴帮忙指正
对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》
2SMB 简单介绍
SMB协议最初由Microsoft开发,后来成为 Windows 网络中最常用的文件共享协议。SMB协议也可以用于与Unix或Linux系统进行文件共享,通过Samba软件包,Unix和Linux系统可以作为SMB服务器提供文件共享服务,允许Windows系统访问共享文件和打印机。
NFS能让 Unix 和 Linux 机器沟通或者让 Windows 机器沟通,SMB 可以实现 Windows 机器与 Unix 或 Linux 机器沟通。
在实际的使用中, SMB协议 更多的是 Windows操作系统 中使用文件共享协议,它允许 Windows系统之间共享文件和打印机。
Samba
Samba 是在 Linux 系统上实现 SMB 协议的一个免费软件,在局域网上共享文件和打印机的一种`通信协议,由服务器及客户端程序构成。
可以实现以下功能:
-
文件共享:Samba 可以将 Linux/UNIX 系统上的文件和目录共享给 Windows、macOS 和其他支持 SMB/CIFS 协议的客户端。这意味着您可以使用 Samba 在不同操作系统之间共享文件和目录。 -
打印机共享:Samba 允许您将打印机连接到 Linux/UNIX 系统,并通过 SMB/CIFS 协议将其共享给 Windows、macOS 和其他客户端。这样,您可以在网络上共享打印机,并允许多个用户使用同一台打印机。 -
认证和授权:Samba 提供了身份验证和访问控制机制,允许您配置用户认证、访问权限和共享级别。您可以创建用户账号,设置密码策略,并为共享目录指定不同的访问权限。 -
域控制器:Samba 可以充当一个域控制器,提供类似于 Windows 域的功能。您可以使用 Samba 创建和管理用户账号、组、策略,并实现集中管理和身份验证。 -
家庭文件服务器:您可以使用 Samba 在家庭网络中搭建一个文件服务器,允许家庭成员共享文件和目录,并进行访问控制。 -
安全性和加密:Samba 支持加密通信,并提供了数据的保护和安全传输。您可以配置 Samba 使用 SSL/TLS 加密协议来保护数据的传输和存储。 -
跨平台兼容性:Samba 提供了与 Windows 网络的良好兼容性,使 Linux/UNIX 系统能够与 Windows 网络无缝集成。
samba 访问流程简单说明
-
Samba 服务器启动并监听指定的端口(默认为 445 端口)。 -
客户端发起连接请求,连接到 Samba 服务器。 -
Samba 服务器接收到连接请求,建立与客户端的连接。 -
客户端发送 SMB/CIFS 请求到 Samba 服务器,请求访问共享资源或执行特定操作。 -
Samba 服务器解析请求,根据请求的类型和参数执行相应的操作。 -
如果请求涉及访问共享资源,Samba 服务器将检查客户端的身份验证信息,并根据配置文件中的访问控制规则确定是否授予访问权限。 -
Samba 服务器执行请求的操作,如读取、写入、创建、删除文件等。 -
Samba 服务器生成响应,将响应发送回客户端。 -
客户端接收到响应,根据响应的内容进行相应的处理和显示。
主机既可以充当客户端,也可以充当服务器来访问和提供 SMB 文件共享:
-
作为 客户端,挂载SMB文件共享需要安装cifs-utils软件包以及 samba-client。 -
作为 服务器,使用SMB协议共享目录需要安装samba软件包。
Linux 环境配置SMB共享基本步骤如下:
-
安装 samba软件包。 -
准备 Samba用户 -
准备共享的目录。 -
配置 /etc/samba/smb.conf配置文件 -
启动 Samba并打开本地防火墙 -
从客户端系统挂载 SMB共享以验证您的配置。
3安装部署
将 serverd 配置为独⽴的 SMB ⽂件服务器,它将共享 /smbshare ⽬录。可以使⽤ multiuser 挂载选项,将 servera 配置为将此 SMB 共享挂载到 /designs ⽬录下。
服务端部署配置
安装 samba 软件包。
[root@serverd ~]# yum install samba -y
Red Hat Enterprise Linux 8.1 BaseOS (dvd) 21 MB/s | 2.2 MB 00:00
Red Hat Enterprise Linux 8.1 AppStream (dvd) 32 MB/s | 5.6 MB 00:00
创建 marketing 组和 /smbshare ⽬录。配置 /smbshare ⽬录,其他配置:
-
该⽬录属于该 marketing组 -
该⽬录设置了 SGID位 -
每个⼈都具有⽬录的读取访问权限,但只有 marketing组可以写⼊ -
⽬录具有 samba_share_t SELinux上下⽂类型
这里通过创建的新组结合 SGID 来通过组一统管理权限,正常情况下,如果 SElinux 没有关掉的话,需要设置相关上下文类型。
#创建 marketing 组。
[root@serverd ~]# groupadd marketing
#创建 /smbshare ⽬录。
[root@serverd ~]# mkdir /smbshare
#将 /smbshare ⽬录的组所有权更改为 marketing。
[root@serverd ~]# chgrp marketing /smbshare
#在⽬录上设置 SGID 位,并且仅向该 marketing 组授予写⼊权限。
[root@serverd ~]# chmod 2775 /smbshare
#在 SELinux 策略中添加⼀条规则,使 /smbshare ⽬录及其内容的上下⽂类型为
samba_share_t。
[root@serverd ~]# semanage fcontext -a -t samba_share_t '/smbshare(/.*)?'
#将 SELinux 规则应⽤到 /smbshare ⽬录。
[root@serverd ~]# restorecon -Rv /smbshare
Relabeled /smbshare from unconfined_u:object_r:default_t:s0 to
unconfined_u:object_r:samba_share_t:s0
#验证⼯作成果。组权限、组所有权和 SELinux 类型应与以下输出匹配。
[root@serverd ~]# ls -ldZ /smbshare
drwxrwsr-x. 2 root marketing unconfined_u:object_r:samba_share_t:s0 6 May 22
08:10 /smbshare
编辑 /etc/samba/smb.conf 配置⽂件,按照下面的要求配置,
-
将⼯作组设置为 MYCOMPANY -
将 Samba配置为需要加密流量。 -
强制 Samba 仅⽀持 SMB 版本 3 和更⾼版本。 -
创建名为 data的共享。 -
共享 /smbshare⽬录。 -
保护共享,以便每个⼈都可以访问它,但只有 marketing组的成员具有写⼊访问权限。
编辑 /etc/samba/smb.conf ⽂件,并将 workgroup 指令设置为 MYCOMPANY。
...output omitted...
[global]
workgroup = MYCOMPANY
...output omitted...
在 [global] 部分下,强制加密,并将最⼩协议版本设置为 SMB3。
...output omitted...
[global]
workgroup = MYCOMPANY
smb encrypt = required
server min protocol = SMB3
...output omitted...
在⽂件的末尾,添加以下块来定义新的共享。
...output omitted...
[data]
path = /smbshare
write list = @marketing ;配置项指定了具有写权限的用户或用户组。
完成后,保存并关闭该⽂件。
运⾏ testparm 命令,以验证 /etc/samba/smb.conf 配置⽂件
[root@serverd ~]# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions
Enter
...output omitted...
samb 共享账户配置
sam 客户端和服务器建立连接,需要认证,samba 使用 用户名密码的方式。
创建仅限 Samba 的 developer1 用户帐户,然后将它添加到 marketing 组。该用户帐户对共享具有写访问权限,因为它是 marketing 组的成员。
[root@serverd ~]# useradd -s /sbin/nologin -G marketing developer1
创建仅限 Samba 的 operator1 用户帐户。不要将它添加到 marketing 组,以便它对该共享具有只读访问权限。将这两个帐户的 SMB 密码设为 redhat。
将 developer1 用户帐户添加到 Samba
[root@serverd ~]# smbpasswd -a developer1
完整的操作
[root@serverd ~]# groupadd marketing
[root@serverd ~]# mkdir /smbshare
[root@serverd ~]# chgrp marketing /smbshare
[root@serverd ~]# chmod 2775 /smbshare
[root@serverd ~]# semanage fcontext -a -t samba_share_t '/smbshare(/.)?'
[root@serverd ~]# restorecon -Rv /s
sbin/ smbshare/ srv/ sys/
[root@serverd ~]# restorecon -Rv /s
sbin/ smbshare/ srv/ sys/
[root@serverd ~]# restorecon -Rv /smbshare
Relabeled /smbshare from unconfined_u:object_r:default_t:s0 to unconfined_u:object_r:samba_share_t:s0
[root@serverd ~]# ls -ldZ /smbshare
drwxrwsr-x. 2 root marketing unconfined_u:object_r:samba_share_t:s0 6 Jul 6 20:43 /smbshare
[root@serverd ~]# vim /etc/samba/smb.conf
[root@serverd ~]# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions
# Global parameters
[global]
printcap name = cups
security = USER
server min protocol = SMB3
workgroup = MYCOMPANY
idmap config * : backend = tdb
cups options = raw
smb encrypt = required
[homes]
browseable = No
comment = Home Directories
inherit acls = Yes
read only = No
valid users = %S %D%w%S
[printers]
browseable = No
comment = All Printers
create mask = 0600
path = /var/tmp
printable = Yes
[print$]
comment = Printer Drivers
create mask = 0664
directory mask = 0775
force group = @printadmin
path = /var/lib/samba/drivers
write list = @printadmin root
[data]
path = /smbshare
write list = @markting
添加 smb 用户,这里使用系统用户,先创建系统用户,然后添加对应的 smb 用户
[root@serverd ~]# useradd -s /sbin/nologin -G marketing developer1
[root@serverd ~]# smbpasswd -a developer1
New SMB password:
Retype new SMB password:
Added user developer1.
[root@serverd ~]# useradd -s /sbin/nologin operator1
[root@serverd ~]# smbpasswd -a operator1
New SMB password:
Retype new SMB password:
Added user operator1.
[root@serverd ~]# useradd -r -s /sbin/nologin sambamount
[root@serverd ~]# smbpasswd -a sambamount
New SMB password:
Retype new SMB password:
Added user sambamount.
配置 smb 开机自启动
[root@serverd ~]# systemctl enable --now smb
Created symlink /etc/systemd/system/multi-user.target.wants/smb.service → /usr/lib/systemd/system/smb.service.
查看服务状态
[root@serverd ~]# systemctl status smb
● smb.service - Samba SMB Daemon
Loaded: loaded (/usr/lib/systemd/system/smb.service; enabled; vendor preset: disabled)
Active: active (running) since Thu 2023-07-06 21:17:54 CST; 18s ago
Docs: man:smbd(8)
man:samba(7)
man:smb.conf(5)
Main PID: 2822 (smbd)
Status: "smbd: ready to serve connections..."
Tasks: 4 (limit: 11251)
Memory: 8.3M
CGroup: /system.slice/smb.service
├─2822 /usr/sbin/smbd --foreground --no-process-group
├─2824 /usr/sbin/smbd --foreground --no-process-group
├─2825 /usr/sbin/smbd --foreground --no-process-group
└─2826 /usr/sbin/smbd --foreground --no-process-group
Jul 06 21:17:54 serverd.lab.example.com systemd[1]: Starting Samba SMB Daemon...
Jul 06 21:17:54 serverd.lab.example.com smbd[2822]: [2023/07/06 21:17:54.189066, 0] ../../lib/util/be>
Jul 06 21:17:54 serverd.lab.example.com systemd[1]: Started Samba SMB Daemon.
Jul 06 21:17:54 serverd.lab.example.com smbd[2822]: daemon_ready: daemon 'smbd' finished starting up>
防火墙放行
[root@serverd ~]# firewall-cmd --permanent --add-service=samba
success
[root@serverd ~]# firewall-cmd --reload
success
客户端配置
将 SMB data 共享永久挂载到客户机 servera 上的 /designs 挂载点下,这里我们使⽤ sambamount 用户的凭据创建 /etc/samba/creds.txt ⽂件。使⽤ /etc/fstab 中的 credentials、multiuser 和 seal 挂载选项激活多用户模式并加密通信。
安装 cifs-utils 软件包,它提供 mount.cifs 命令
[root@servera ~]# yum install cifs-utils
创建 /etc/samba/creds.txt ⽂件,以提供⽤于挂载该共享的帐户和密码。使⽤ sambamount 帐户,密码为 redhat。
username=sambamount
password=redhat
保护⽂件,以便只有 root 用户可以访问它
[root@servera ~]# chmod 600 /etc/samba/creds.txt
创建 /designs 挂载点
[root@servera ~]# mkdir /designs
编辑 /etc/fstab ⽂件,再为 SMB 共享添加⼀个条⽬。在单⾏中定义以下新挂载,⽆换⾏符。
//serverd.lab.example.com/data /designs cifs credentials=/etc/samba/creds.txt,multiuser,seal 0 0
credentials=/etc/samba/cred.txt: 指定用户账户和密码的文件路径。Samba 服务将从这个文件中获取用户登录验证信息。
multiuser: 表示允许多个用户同时登录这个共享。如果不指定这个参数,默认只允许一个用户连接。
seal: 表示Samba将用户账户信息存储在cred.txt文件中进行简单的文本明文形式存储,而不是使用更安全的加密方式。
挂载⽂件系统,然后验证挂载是否成功。
[root@servera ~]# mount /designs
[root@servera ~]# df /designs
Filesystem 1K-blocks Used Available Use% Mounted on
//serverd.lab.example.com/data 10474476 2289868 8184608 22% /designs
测试对共享的访问权限。为此,请以 developer1 用户⾝份登录,提供该用户的 SMB 凭据,然后确认您可以写⼊该共享。
执⾏与 operator1 用户相同的测试。该用户帐户仅具有读取访问权限,因为它不属于该 marketing 组以 developer1 用户⾝份登录。lab 脚本已为您创建了该用户帐户。
[root@servera ~]# su - developer1
[developer1@servera ~]$
4Demo
服务端配置 samba 共享
在 servera 上准备 samba 共享:
-
创建共享文件夹 /common -
用户 rob验证的密码是compede -
用户 brian验证的密码是postroll
部署步骤:
-
安装对应的数据包 -
添加对应的 smb 用户 -
共享目录授权 -
SElinux 配置
yum -y install samba samba-client
保证本地用户安全,给对应的 配置无法登录的 bash
# id brian; id rob
# egrep 'brian|rob' /etc/passwd
# usermod -s /sbin/nologin brian
# usermod -s /sbin/nologin rob
添加 smb 用户
[root@servera ~]# pdbedit -L
[root@servera ~]# smbpasswd -a brian
New SMB password: `postroll`
Retype new SMB password: `postroll`
Added user brian.
[root@servera ~]# (echo compede; echo compede) | smbpasswd -a rob
New SMB password:
Retype new SMB password:
Added user rob.
[root@servera ~]# pdbedit -L
brian
rob
创建共享文件夹,这里需要配置对应的权限,上面要, 添加 brian 组,同时给 GID 权限
mkdir /common
chown :brian /common
chmod 2775 /common
查上下文关系类型,配置 SELinux
# vim /etc/samba/smb.conf.example
# yum provides semanage
# yum -y install policycoreutils-python-utils
查上下文关系命令
# man semanage fcontext | grep \#
# semanage fcontext -a -t samba_share_t "/common(/.*)?"
# restorecon -Rv /common
# ls -ldZ /common/
drwxrwsr-x. 2 root brian unconfined_u:object_r:`samba_share_t`:s0 6 Aug 7 13:05
/common/
使用多用户访问 samba 共享目录
在 servera 上配置 SMB 服务:
-
您的 SMB服务器必须是STAFF工作组的一个成员 -
共享 /common目录共享名必须为common -
只有 example.com域内的客户端可以访问common共享 -
common必须是可以浏览的 -
用户 rob必须能够读取共享中的内容 -
要求 rob用户以只读的方式访问该目录,brian可以用读写的方式来访问该目录
在 serverb 上,要求通过 smb 多用户的方式将共享目录 common 挂载到 /mnt/private 上
-
要求在对该共享目录挂载时,以 rob的身份进行操作 -
要求每次开机该共享目录可以自动挂载
# vim /etc/samba/smb.conf
...
workgroup = STAFF
...
[common]
path = /common
hosts allow = 127. 172.25.
browseable = Yes
write list = @brian
# systemctl enable --now smb nmb
# firewall-cmd --permanent --add-service=samba
# firewall-cmd --reload
# smbclient -L //servera -N
Anonymous login successful
Sharename Type Comment
--------- ---- -------
...
`common` Disk
...
# smbclient -L //servera -U rob%compede
# smbclient //servera/common -U rob%compede
客户端配置
# yum search cifs
# yum search samba
# yum -y install cifs-utils samba-client
# smbclient -L //servera -N
# smbclient -L //servera -U rob%compede
# mkdir /mnt/private
# man mount.cifs
# vim /etc/samba/cred.txt
username=rob
password=compede
验证权限配置
# chmod 600 /etc/samba/cred.txt
# ll /etc/samba/cred.txt
-rw-------. 1 root root 30 Aug 7 13:31 /etc/samba/cred.txt
# vim /etc/fstab
...
//servera/common /mnt/private cifs credentials=/etc/samba/cred.txt,multiuser,seal 0 0
# mount –a
# df -ht cifs
Filesystem Size Used Avail Use% Mounted on
//servera/common 10G 2.2G 7.9G 22% /mnt/private
# ls /mnt/private/
# touch /mnt/private/ro.txt
touch: cannot touch '/mnt/private/ro.txt': Permission denied
# su - brian
$ cifscreds add servera
Password: `postroll`
$ touch /mnt/private/rw.txt
$ ls /mnt/private/rw.txt
-rwxr-xr-x. 1 brian brian 0 Aug 7 13:41 /mnt/private/rw.txt
5博文部分内容参考
© 文中涉及参考链接内容版权归原作者所有,如有侵权请告知:)
红帽服务管理与自动化(RH358)授课笔记
© 2018-2023 liruilonger@gmail.com, All rights reserved. 保持署名-非商用-相同方式共享(CC BY-NC-SA 4.0)
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)