samba for centos7

worker321

　　samba服务
　　http://hongge.blog.51cto.com/
　　RHEL7配置samba：开机自动挂载以及多用户挂载
　　安装samba(centos 7/redhat 7提供的samba版本是samba 4)

　　开机启动

　　启动服务

　　查看监听端口（使用netstat或ss命令查看连接状态）

　　防火墙放行

　　然后我们看看配置文件 smb.conf
　　注意配置任何服务的时候，涉及到权限访问的配置都有一个基本的顺序：
　　1.配置文件，各种conf文件里面的设置
　　2.文件权限的访问，用户是否有对应的rwx权限
　　3.SELinux的上下文和布尔值是否打开了
　　SMB也不例外。
　　配置文件一开始就提醒SELinux的配置。

　　标号1：告诉我们可以执行testparm检测samba配置文件的语法正确性
　　标号2：samba_enable_home_dirs布尔值允许访问用户的家目录
　　标号3：samba_share_t需要把这个上下文分配给对应的共享文件
　　global的配置部分主要设置工作组名、描述信息、netbios名、监听接口或IP、允许域名或网络范围等等

　　注：hosts allow表示允许的IP或域名，书写格式可以用以下方式表示
　　1. 主机IP：多个IP地址用空格分隔，如：172.25.0.1172.25.0.2
　　2. 网段：可以用掩码长度或子网掩码表示，如：172.25.0.0/24或172.25.0.0/255.255.255.0
　　3. IP子网前缀：172.25.0.或172.25.表示以172.25.0.或172.25.开始的地址
　　4. 主机名或主机后缀名：如desktop.example.com或.example.com
　　5. IPV6地址：2001:db8:0:1::/64
　　日志存放点，本地验证的方式使用user（用户名方式验证）

　　samba 4 下参数security的值不再允许是share和server，建议使用user
　　samba 4 下如果希望有匿名访问共享，可将 map to guest = Bad User 打开
　　在[global]节中加入map to guest = Bad User，这个配置的意思是将所有samba系统主机所不能正确识别的用户都映射成guest用户，这样其他主机访问samba共享目录时就不再需要用户名和密码了，在定义共享部分添加guest ok = yes。
　　最后是共享文件

　　例1：接下我们来创建一个目录（如：/common），通过samba输出共享
　　通过 SMB 共享/common 目录，samba服务器必须是 STAFF 工作组的一个成员，共享名必须为 common，只有 group3.example.com 域内的客户端可以访问 common 共享（group3.example.com中的系统都在子网172.24.3.0/24中），同样在这个子网中的系统都在，common 必须是可以浏览的，用户 harry 必须能够读取共享中的内容，如果需要的话，验证的密码是 migwhisk
　　#yum install –y samba samba-client samba-common //该包里有 smbpasswd 命令
　　# mkdir /common
　　# chcon -R -t samba_share_t /common
　　# setsebool -P samba_export_all_rwon
　　# vim /etc/samba/smb.conf
　　workgroup = STAFF

[common]

　　path = /common
　　browseable = yes
　　# useradd harry
　　# smbpasswd -a harry ->密码设置为 migwhisk
　　注：与samba配套使用的smbpasswd在samba-client中，建议安装时一并安装samba-client
　　# systemctl start smb
　　# systemctl enable smb
　　#firewall-cmd --zone=public --permanent–add-rich-rule=’rule family=”ipv4” source address=172.24.3.0/24 service name=samba accept’
　　#firewall-cmd –reload
　　或者
　　在smb.conf配置文件的共享定义中使用hosts allow = 172.24.3.只允许group3.example.com 域内的客户端访问。
　　在客户端上测试访问samba共享
　　Windows客户端
　　输入”//samba服务器的IP”回车

　　输入用户名和密码，回车

　　从linux客户端测试访问

　　注：挂载smb共享使用的是cifs文件系统
　　或使用mount.cifs挂载

　　注：mount.cifs命令由cifs-utils软件提供
　　注：sec选项的作用是选择安全模型
　　注：linux作为客户端挂载windows的共享（共享目录是ntfs文件系统）也需要安装cifs-utils包
　　可以用man mount.cifs查看手删页

　　例2：配置多用户SMB挂载
　　在system1共享通过SMB目录/devops满足以下要求：
　　共享名为devops
　　共享目录devops只能被group3.example.com域中的客户端使用
　　共享目录devops必须可以被浏览
　　用户kenji必须能以读的方式访问此共享，该问密码是atenorth
　　用户chihiro必须能以读写的方式访问此共享，访问密码是atenorth
　　此共享永久挂载在system2.group3.example.com上的/mnt/dev目录，并使用用户kenji作为认证。任何用户可以通过用户chihiro来临时获取写的权限。
　　在 system1 （smb共享服务器）上创建目录
　　# mkdir /devops
　　创建相关用户
　　# useradd kenji
　　# useradd chihiro
　　设置/devops目录的acl权限
　　# setfacl -m u:chihiro:rwx /devops
　　设置selinux
　　# chcon -R -t samba_share_t /devops
　　# setsebool -P samba_export_all_rw on
　　修改配置文件
　　# vim /etc/samba/smb.conf

[devops]

　　path = /devops
　　browseable = yes
　　write list = chihiro
　　添加samba用户
　　# smbpasswd -a kenji
　　# smbpasswd -a chihiro
　　重启服务
　　# systemctl restart smb nmb
　　system2 （smb客户端）上的配置如下：
　　创建用于测试相关用户
　　# useradd lisi
　　# useradd zhangsan
　　创建挂载点：
　　# mkdir /mnt/dev
　　创建密码文件
　　# vim /root/multiuser.txt
　　username=kenji
　　password=atenorth
　　在 fstab 中写入：
　　//system1.group3.example.com/devops /mnt/dev cifs
　　defaults,credentials=/root/multiuser.txt,multiuser,sec=ntlmssp 0 0
　　注：在客户端挂载smb共享若使用credentials（指定验证凭证）参数则要安装cifs-utils软件包。
　　或在 fstab 中写入：
　　//system1.group3.example.com/devops /mnt/dev cifs
　　defaults,username=kenji,password=atenorth,multiuser,sec=ntlmssp 0 0
　　# mount –a
　　执行df –hT验证挂载

　　#su – lisi

　　从上图可以看到客户端用户lisi没有任何权限，lisi若要以只读方式访问共享目录则执行下面的命令同步服务器kenji用户身份
　　#cifscreds add system1 -u kenji
　　如下图所示：

　　从上图可以看到客户端用户lisi可以进行读操作但仍然不能执行写操作。
　　客户端zhangsan用户可以对共享目录执行写操作又如何实现呢？
　　方法是执行下面的命令同步服务器chihiro用户身份
　　#su – zhangsan
　　#cifscreds add system1 –u chihiro

　　注：cifscreds是管理认证凭据(用户名和密码),用于多用户建立会话目的的工具
　　例3：需求描述
　　共享名路径权限
　　sharedoc/smb/docs所有人员包括来宾均可以访问
　　rddocs /smb/tech 仅允许特定组的用户进行读写访问
　　特定组的组名为rd，目前的Alice、Jack、Tom三个人
　　配置samba服务器
　　创建共享目录（假设共享/smb目录下的文件）
　　# mkdir -p /smb/docs
　　# mkdir -p /smb/tech
　　编辑smb.conf文件
　　在全局部分添加map to guest项

　　在共享定义部分添加如下共享配置项

　　创建系统用户和组账户

　　将用户添加到rd组

　　创建samba用户

　　修改目录权限

　　重启smb服务

　　在客户端上测试访问smb共享
　　以windows系统为例，在客户端上输入：\\samba服务器ip
　　直接打开共享窗口，当访问rrdocs共享目录时，需要输入用户名和密码
　　http://hongge.blog.51cto.com/