linux服务篇-Samba服务

文件和打印机的一个共享程序，Samba=smb（由于smb被windows使用，所以命名为Samba）=server Manage Block！

Samba最先在Linux和Windows之间架起了一座桥梁，正是由于Samba的出现，我们可以在Linux和Windows之间实现文件共享的相互通讯，我们可以将其架设成一个功能非常强大的文件服务器，也可以将其架设成打印服务器提供本地也远程联机打印

Samba应用环境

文件和打印机共享：文件和打印机共享是Samba的最主要功能，SMB进程实现资源共享，将文件和打印机发布到网络中，以方便用户查看和使用！

身份认证和权限管理：smbd服务支持user mode和domain mode等你身份验证和权限设置模式，通过加密的方式可以保证共享文件和打印机的安全！

名称解析：Samba通过nmbd服务可以搭建NBNS(NetBIOS Name Service)服务器，提供名称解析，将计算机的NetBIOS名解析为IP地址。

浏览服务：局域网中，Samba服务器可以成为本地主浏览服务器（LMB），保存可用资源列表，当使用客户端访问Windows网上邻居时，会提供浏览列表，显示共享目录、打印机等资源。

工作端口和模式

端口包括：139（NetBIOS协议，进行计算机名称的解析）和445（作用于文件共享）

早期，smb运行与NBT（NetBios Over TCP/IP）上，使用UDP协议的137，138，以及TCP的139号端口

拓展：NetBIOS协议

Network Basic Input/Output System的简称，网络基本输入/和输出系统！协议可以理解为（用于局域网通讯的API，是由IBM公司开发），NETBIOS的主要作用：通过NETBIOS协议获得计算机名称，然后把计算机名解析为IP地址！后期SMB经过开发，可以直接运行于TCP/IP协议上，没有额外的NBT层，使用TCP协议的139和445端口。

C/S模式

Nmbd smbd

工作原理

当客户端访问服务器时，信息通过SMB协议进行传输，其工作过程可以分成四个步骤哈：

1：协议协商

客户端在访问Samba服务器时，发送negprot指令数据包，告知目标计算机其支持的SMB类型。Samba服务器根据客户端的情况，选择最优的SMB类型，并做出回应。

--------negprot请求------->

客户端服务器

<--------negprot响应-------

2：建立连接

当SMB类型确认后，客户端会发送session setup指令数据包，提交帐号和密码，请求与Samba服务器建立连接，如果客户端通过身份验证，Samba服务器会对session setup报文作出回应，并为用户分配唯一的UID，在客户端与其通信时使用。

--------session setup &X请求------->

客户端服务器

<--------session setup &X响应-------

3：访问共享资源

访问共享资源

客户端访问Samba共享资源时，发送tree connect指令数据包，通知服务器需要访问的共享资源名，如果设置允许，Samba服务器会为每个客户端与共享资源连接分配TID,客户端即可访问需要的共享资源哈。

--------tree connect &X请求------->

客户端服务器

<--------tree connect &X响应-------

4：断开连接

共享使用完毕，客户端向服务器发送tree disconnect报文关闭共享，与服务器断开连接。

--------tree disconnect请求------->

客户端服务器

<--------tree disconnect响应-------

服务端安装方式：

[root@Kylinos63 ~]# rpm -ivh /media/Packages/samba-3.6.9-164.el6.x86_64.rpm

通用Internet文件系统

[root@Kylinos63 ~]# yum install -y samba

客户端安装：

[root@Kylinos6 ~]# yum install -y samba-client

搭建一台SAMBA服务器的流程

编辑主配置文件，指定需要共享的目录，权限。主配置文件路径/etc/samba/smb.conf
在主配置文件中制定日志文件和存放路径
设置共享目录的在server上的本地权限及samba共享权限
重新加载配置文件或者重启smb服务，让配置生效

服务启动

[root@Kylinos63 ~]# systemctl restart smb

[root@Kylinos63 ~]# systemctl enable smb

[root@Kylinos63 ~]# netstat -antup | grep smb //139端口实际就是提供Netbios服务

tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 7195/smbd

tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 7195/smbd

tcp 0 0 :::139 :::* LISTEN 7195/smbd

tcp 0 0 :::445 :::* LISTEN 7195/smbd

[root@Kylinos63 ~]# vim /etc/samba/smb.conf

#开头部分是Smb.conf配置文件介绍，包括文件作用相关信息

#smb.conf中，；开头的是配置实例，不生效，去掉；此行生效，#表示注释

[global] #全局设定

workgroup = MYGROUP #工作组，为了和WIndows兼容，我们可以改为WORKGROUP

server string = Samba Server Version %v #对这台Server的Samb服务描述字段

; netbios name = MYSERVER #NETBIOS名字，在Windows的网上邻居中显示的名字，属全局配置

interfaces = lo eth0 192.168.12.2/24 192.168.13.2/24 #设置Samba Server监听哪些网卡，可以写网卡名，也可以写该网卡的IP地址。

hosts allow = 127. 192.168.1. 192.168.10.1 #表示允许连接到Samba Server的客户端，多个参数以空格隔开。可以用一个IP表示，也可以用一个网段（192.168.31.）表示。hosts deny 与hosts allow 刚好相反，全局选项

log file = /var/log/samba/log.%m #log存放位置，，%m表示主机名

max log size = 50 #最大日志为50k，达到50k日志滚动

security = user #安全类型：user=基于用户名和密码的访问，一般使用user；security=share共享时不用输入密码直接访问；server=检查账户及密码工作交给另外一台Windows服务器或者Samba服务器去负责，domain=基于域的认证

passdb backend = tdbsam #密码存放到samba数据库

#passdb backend就是用户后台的意思。目前有三种后台：smbpasswd、tdbsam和ldapsam。sam是security account manager（安全账户管理）的简写。

#1.smbpasswd：该方式是使用smb自己的工具smbpasswd来给系统用户（真实用户或者虚拟用户）设置一个Samba密码，客户端就用这个密码来访问Samba的资源。smbpasswd文件默认在/etc/samba目录下，不过有时候要手工建立该文件。

#2.tdbsam：该方式则是使用一个数据库文件来建立用户数据库。数据库文件叫passdb.tdb，默认在/etc/samba目录下。passdb.tdb用户数据库可以使用smbpasswd –a来建立Samba用户，不过要建立的Samba用户必须先是系统用户。

我们除开使用smbpasswd之外，也可以使用pdbedit命令来建立Samba账户。pdbedit命令的参数很多，我们列出几个主要的。

　　pdbedit –a username：新建Samba账户。

　　pdbedit –x username：删除Samba账户。

　　pdbedit –L：列出Samba用户列表，读取passdb.tdb数据库文件。

　　pdbedit –Lv：列出Samba用户列表的详细信息。

　　pdbedit –c “[D]” –u username：暂停该Samba用户的账号。

　　pdbedit –c “[]” –u username：恢复该Samba用户的账号。

#3.ldapsam：该方式则是基于LDAP的账户管理方式来验证用户。首先要建立LDAP服务，然后设置“passdb backend = ldapsam:ldap://LDAP Server”

load printers = yes #载入本地打印机

cups options = raw #设备类型，裸设备

[homes] #几个特殊共享，某一个人的家目录对外共享控制机制，不要注释掉

comment = Home Directories #描述字段

browseable = no #默认开始，=no是隐藏

writable = yes #可写

; valid users = %S #有效的用户，%s代表只有属于自己的家目录才能访问

; valid users = MYDOMAIN\%S #有效用户，默认代表针对于域用户登陆的用户访问自己的家目录

[printers] #打印共享

comment = All Printers

path = /var/spool/samba

browseable = no

guest ok = no

writable = no

printable = yes

[share] #自定义的共享名字

comment = Public share #描述字段

path = /share #共享文件路径

public = yes #匿名用户可以看到此目录

writable = yes #可写，这里针对所有用户，wrist list只是对后面的用户或组

printable = no #设备是否是打印机

write list = bob bob,@sales #用户表，这里的用户可以读写共享目录，可以写成用户名，用户名,@组名

hosts allow = 192.168.1. 127. #允许那个网段来访问，方式和前面的写法一样

#常见的几个选项

create mask = 0755 #上传文件的权限

only guest = yes # 将登陆的用户映射为匿名用户

guest ok = yes #允许匿名用户，类似于public=yes

read only = yes #权限只读，主要针对目录

guest account = pcguest #匿名用户上传文件的所属主组

directory mask = 0755 #匿名用户上传文件的权限

available = yes #用来指定改共享资源是否可用

注意：当配置文件有重复的参数，例如

writable = yes

writable = no

下边的writable = no生效

拓展：

特殊权限拓展权限 setfacl

SUID: u+s

只能用在可执行的二进制程序上面，对目录设置无效

程序运行的时候（瞬间）从执行者变为程序的拥有者

eg：passwd在普通用户是可以更改自己的密码的，但是我们查看到，shadow的权限是没有任何权限（----------.）,但是更改密码的时候，普通用户执行passwd的权限将密码需要写入shadow里面去，所以在执行的时候，获取到了root的权限，将密码写入到shadow中！-----[普通用户执行某命令的瞬间提升成为root用户]

#chomd u+s /usr/bin/less //命令格式

#chmod 4755 /usr/bin/less //将特殊权限添加到最前面，4位数字执行方式，u+s->s=4 g+s->s=2

SGID: g+s

可以对二进制程序上面，也可以针对目录，更多的用于目录

新创建的文件所属组会继承上级目录的所属组

Notes：若使用了cp -a的命令去copy到已经添加了g+s的目录中，是会覆盖g+s的权限的，RHEL6中

SBIT: o+t

stickybit 粘滞位，作用只用于目录，功能目录下创建了文件只有root，文件onwer和目录所有者才能删除

纵使目录拥有了x权限，其他人员也无法删除

#chmod o+t /tmp //对目录/tmp添加t的权限

#chmod 1744 /tmp //利用数字添加t的权限，在权限数目前加一位，1添加，0取消t的权限

配置匿名共享share

通过配置一个工作组为kylinos.cn,用samba服务器作为文件服务器，发布共享目录/share，共享名为public，允许所有员工访问

测试目录和文件

[root@Kylinos63 ~]# mkdir /share //测试共享目录

[root@Kylinos63 ~]# cp /etc/passwd /share //测试文件

配置文件修改

Samba3的配置方式

[root@Kylinos63 ~]# vim /etc/samba/smb.conf

[global]

workgroup = kylinos.cn #此行修改

server string = Samba Server Version %v & kylinos.cn #修改描述字段

……

security = share #修改访问安全类型

……

[public] #末尾添加，共享名为public

comment = Public share #描述字段

path = /share #路径

public = yes #允许匿名

samba4的配置方式

[root@Kylinos63 ~]# vim /etc/samba/smb.conf

[global]

workgroup = kylinos.cn #此行修改

security = user #修改访问安全类型

map to guest = bad user

……

[public] #末尾添加，共享名为public

comment = Public share #描述字段

path = /share #路径

public = yes #允许匿名

[root@Kylinos63 ~]# testparm #检测smb.conf文件是否正确

[root@Kylinos63 ~]# service smb restart //启动服务

Windows客户端测试

按下Win+R，护着从开始-运行，然后输入共享地址格式 \\IP

不用输入密码方式到public（实际是/share）

可以看到public里面的passwd文件，全程无密码输入

注意：

Windows访问samba共享时，提示：“你不能访问此共享文件夹，因为你组织的安全策略阻止未经身份验证的来宾访问”

此问题需要修改Win10 网络策略

按window+R键输入gpedit.msc 来启动本地组策略编辑器，如下：

依次找到“计算机配置-管理模板-网络-Lanman工作站”这个节点，在右侧内容区可以看到“启用不安全的来宾登录”这一条策略设置。状态是“未配置”，如下：

双击“启用不安全的来宾登录”这一条策略设置，将其状态修改为“已启用”并单击确定按钮。

设置完成，再次尝试访问发现可以正常访问了

Linux客户端测试

[root@Kylinos64 ~]# smbclient -L 192.168.1.63 //查看Samba上的共享资源

Enter root's password: #这里密码为空，直接回车查看

Domain=[KYLINOS.CN] OS=[Unix] Server=[Samba 3.6.9-164.el6]

Sharename Type Comment

--------- ---- -------

public Disk Public share

IPC$ IPC IPC Service (Samba Server Version 3.6.9-164.el6 & kylinos.cn)

Domain=[KYLINOS.CN] OS=[Unix] Server=[Samba 3.6.9-164.el6]

Server Comment

--------- -------

Workgroup Master

--------- -------

[root@Kylinos64 ~]# mount -t cifs //192.168.1.63/public /opt//匿名共享无需加入用户名

Password: #直接回车，密码为空

[root@Kylinos64 ~]# cd /opt

[root@Kylinos64 opt]# ls ; cd

passwd

配置密码共享

通过用户名和密码共享出sales。只有拥有用户名和密码的同事可以查看这个共享

创建测试目录及其文件

[root@Kylinos63 ~]# mkdir /sales

[root@Kylinos63 ~]# cp /etc/group /sales/group.txt

修改配置文件

[root@Kylinos63 ~]# vim /etc/samba/smb.conf

……

security = user #修改此项，安全级别

#passdb backend = tdbsam #注销此行

passdb backend = smbpasswd #使用smb自己的工具smbpasswd来给系统用户（真实用户

或者虚拟用户）设置一个Samba密码，客户端就用这个密码来访问Samba的资源。

smb passwd file = /etc/samba/smbpasswd #存放密码位置

……

[sales] #末尾添加此行

comment = Sales Share Folder

path = /sales

public = yes

writable = yes

valid user = @sales

测试用户

[root@Kylinos63 ~]# groupadd sales

[root@Kylinos63 ~]# useradd -g sales sale1

[root@Kylinos63 ~]# useradd -g sales sale2

[root@Kylinos63 ~]# grep sale /etc/passwd

sale1:x:500:500::/home/sale1:/bin/bash

sale2:x:501:500::/home/sale2:/bin/bash

建立samba对应账号

[root@Kylinos63 ~]# touch /etc/samba/smbpasswd //若有不存储在报错，需要新建

[root@Kylinos63 ~]# smbpasswd -a sale1 //本地用户建立samba账号

New SMB password: #123456

Retype new SMB password: #123456

[root@Kylinos63 ~]# smbpasswd -a sale2

New SMB password: #123456

Retype new SMB password: #123456

Added user sale2.

[root@Kylinos63 ~]# chmod 777 /sales //除开samba本身的权限控制，系统权限给足

[root@Kylinos63 ~]# service smb restart

Windows客户端测试

Sale1是sale1用户自己的home目录，sales里面有group文件

同样方式切换用户，切换用户前，清除用户

执行这条命令：net use \\192.168.1.63\IPC$ /del

然后再执行访问共享

\\192.168.1.63 //当你启用了user安全级别，匿名共享的public也就不匿名了

Linux客户端的测试

[root@Kylinos64 ~]# smbclient -L 192.168.1.63

Enter root's password:

Anonymous login successful

Domain=[KYLINOS.CN] OS=[Unix] Server=[Samba 3.6.9-164.el6]

Sharename Type Comment

--------- ---- -------

public Disk Public share

sales Disk Sales Share Folder

IPC$ IPC IPC Service (Samba Server Version 3.6.9-164.el6 & kylinos.cn)

Anonymous login successful

Domain=[KYLINOS.CN] OS=[Unix] Server=[Samba 3.6.9-164.el6]

Server Comment

--------- -------

Workgroup Master

--------- -------

[root@Kylinos64 ~]# mount -o user=sale1,pass=123456 //192.168.1.63/sales /sales/

[root@Kylinos64 ~]# ls /sales/

group.txt

若是Linux开机启动挂载的方式：

[root@Kylinos64 ~]# vim /etc/fstab //末尾添加此行，开机启动挂载

//192.168.1.63/sales /sales cifs user=sale1,pass=123456 0 0

隐藏自己的home共享

[root@Kylinos63 ~]# vim /etc/samba/smb.conf

#[homes] #把这四行注释

# comment = Home Directories

# browseable = no

# writable = yes

[root@Kylinos63 ~]# service smb restart

客户端测试（sale1）

服务端边缘状态监测

[root@Kylinos63 ~]# smbstatus

Ignoring unknown parameter "valid user"

Samba version 3.6.9-164.el6

PID Username Group Machine

-------------------------------------------------------------------

51497 sale1 sales 192.168.1.64 (192.168.1.64)

51490 sale1 sales linuxstudy (192.168.1.33)

Service pid machine Connected at

-------------------------------------------------------

IPC$ 51497 192.168.1.64 Mon Oct 12 15:01:05 2015

IPC$ 51490 linuxstudy Mon Oct 12 14:59:48 2015

sales 51497 192.168.1.64 Mon Oct 12 15:01:05 2015

IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问

Linux客户端工具smbclient

Smbclient(samba client)是基于SMB协议的,用于存取共享目标的客户端程序。

列出smb的分享目录

[root@kylinos ~]# smbclient -L 192.168.31.63 #匿名登录

Enter SAMBA\root's password:

Anonymous login successful

[root@kylinos ~]# smbclient -L 192.168.31.63 -U sale2 #使用用户名列举

Enter SAMBA\sale2's password:

[root@Kylinos64 ~]# smbclient -L 192.168.1.63 -U sale1%123456 //列出某个IP的共享，可以不跟用户

像 FTP 客户端一样使用 smbclient

[root@kylinos ~]# smbclient //192.168.31.63/sales #匿名登录

Enter SAMBA\root's password:

Anonymous login successful

Try "help" to get a list of possible commands.

smb: \>

[root@kylinos ~]# smbclient //192.168.31.63/sales -U sale1 #用户登录

Enter SAMBA\sale1's password:

Try "help" to get a list of possible commands.

smb: \>

[root@Kylinos64 ~]# smbclient //192.168.1.63/sales -U sale1%123456 //像使用FTP工具一样使用

Domain=[KYLINOS.CN] OS=[Unix] Server=[Samba 3.6.9-164.el6]

smb: \> ls

. D 0 Mon Oct 12 14:25:36 2015

.. DR 0 Mon Oct 12 14:25:18 2015

group.txt 804 Mon Oct 12 14:25:36 2015

40317 blocks of size 262144. 22595 blocks available

#会有smb提示符，可以使用cd，lcd，get ，mget，put ，mput等这些命令访问远程共享

使用smbget下载文件

[root@kylinos64 ~]# smbget smb://192.168.31.63/sales/group.txt -U sale1

Password for [sale1] connecting to //sales/192.168.31.63:

Using workgroup SAMBA, user sale1

smb://192.168.31.63/sales/group.txt

Downloaded 1.07kB in 2 seconds

直接一次性使用 smbclient 命令

[root@Kylinos64 ~]# smbclient -c "ls" //192.168.1.63/sales -U sale2%123456 //类似上面命令，单用ls

[root@Kylinos64 ~]# smbclient -c "mkdir share1" //192.168.1.63/sales -U sale1%123456 //创建目录

[root@Kylinos64 ~]# ls /sales/ //之前已经挂载，所以这里可以看到share1

group.txt share1

Linux挂载Windows共享

[root@Kylinos64 ~]# mount -t cifs //192.168.1.230/IT.S\ Se /mnt -o user=administrator,pass=123456

开机自动挂载（文件共享名：IT.S Se）

[root@Kylinos64 ~]# vim /etc/fstab

//192.168.1.230/IT.S\040Se /mnt cifs user=administrator,pass=123456 0 0

#空格编码使用\040代替

虚拟用户(用户映射)

没有绝对的虚拟用户，只会将一个不存在的用户或多个用户，映射为本地的一个真实用户

创建真实用户

[root@Kylinos63 ~]# useradd find

[root@Kylinos63 ~]# smbpasswd -a find

创建用户映射

[root@Kylinos63 ~]# vim /etc/samba/smbusers

# Unix_name = SMB_name1 SMB_name2 ...

root = administrator admin

nobody = guest pcguest smbguest

find = kylinos15 #末尾添加此行

编辑配置文件

[root@Kylinos63 ~]# vim /etc/samba/smb.conf

……

workgroup = kylinos.cn

server string = Samba Server Version %v & kylinos.cn #上面两行的下面添加下面一行

username map = /etc/samba/smbusers #写到全局，全局生效，写到某一个共享，只是针对某一个共享生效

……

[root@Kylinos63 ~]# service smb restart

使用windows测试即可

清除用户信息，然后使用kylinos15登陆测试，kylinos15并不存在

swat介绍

SWAT：The Samba WEB Administration Tool

SWAT是Samba的图形化管理工具。我们可以通过浏览器利用swat工具来设置samba。在swat中每一个samba参数都有相应的帮助文件或解释文件，很适合初学者。

SWAT工具嵌套在xinetd超级守护进程中，要通过启用xinetd进程来启用swat。因此要先安装xinetd工具包，然后安装swat工具包。

1: 版本问题，安装3.6.23

2：编辑swat配置文件，only_from，disabled

3：启动xinetd，启动smb

4: web访问：http://IP:901

#vim /etc/xinetd.d/swat //编辑配置文件

service swat

{

port = 901

socket_type = stream

wait = no

only_from = 192.168.1.0/24 #修改可以管理的IP地址段

user = root

server = /usr/sbin/swat

log_on_failure += USERID

disable = no #启用