Linux操作系統(tǒng)Samba服務(wù)配置與管理目錄/Contents0102Samba服務(wù)基本概念Samba服務(wù)配置與管理01Samba服務(wù)基本概念Samba服務(wù)基本概念Samba是一組開源應(yīng)用程序的集合，最早由澳大利亞計算機工程師AndrewTridgell于1992年開發(fā)，目的是使Linux系統(tǒng)能夠通過支持SMB協(xié)議與Windows客戶端實現(xiàn)文件和打印服務(wù)的共享。隨著時間的推移，Samba保持開源發(fā)展，吸引了全球開發(fā)者的廣泛參與，不斷擴展功能，成為跨平臺文件共享和打印服務(wù)的關(guān)鍵工具，使Linux能夠無縫集成到Windows網(wǎng)絡(luò)環(huán)境中。SMB（ServerMessageBlock）是由IBM公司最早提出的一種網(wǎng)絡(luò)文件共享協(xié)議，后被微軟廣泛采用并擴展。該協(xié)議允許用戶通過網(wǎng)絡(luò)讀取、寫入遠程計算機上的文件，訪問共享的目錄和打印資源，使網(wǎng)絡(luò)資源的使用方式如同本地操作一樣直觀。SMB協(xié)議廣泛應(yīng)用于Windows、Linux和macOS系統(tǒng)中。現(xiàn)代SMB版本（如SMB2.0和SMB3.0）提供了更高的性能、安全性和多連接支持。Samba服務(wù)基本概念Samba主要包含以下兩個關(guān)鍵守護進程smbd：Samba的核心服務(wù)進程，負責(zé)處理文件共享、打印服務(wù)、用戶認(rèn)證與授權(quán)，支持共享模式（單一密碼）和用戶模式（基于用戶名和密碼的訪問控制）。通過systemd可方便地啟動與管理。nmbd：提供NetBIOS名稱解析、局域網(wǎng)瀏覽功能，使客戶端可以通過主機名發(fā)現(xiàn)Samba服務(wù)。支持廣播與點對點兩種名稱解析方式，常與WINS協(xié)同工作。在RHEL、CentOSStream、openEuler等Linux發(fā)行版中，Samba服務(wù)由以下兩個主要軟件包組成：samba：核心服務(wù)包，包含smbd、nmbd以及配置管理工具，提供完整的SMB協(xié)議支持，用于構(gòu)建Linux文件/打印共享服務(wù)器。samba-client 客戶端工具包，包含smbclient、smbmount、smbumount等命令，用于從Linux客戶端訪問其他Samba服務(wù)器的共享資源。02Samba服務(wù)配置與管理/etc/samba/smb.conf是Samba服務(wù)的主配置文件，文件中包含多個節(jié)，每個節(jié)都以節(jié)名稱（用方括號括起來）開頭，緊隨其后的是參數(shù)列表，其中每個參數(shù)都設(shè)置為特定的值。配置文件以[global]節(jié)開頭，該節(jié)用于常規(guī)服務(wù)器配置。隨后各節(jié)分別定義Samba服務(wù)器提供的文件共享或打印機共享。文件中有兩個特殊節(jié)：[homes]和[printers]。配置文件中以分號（;）或井號（#）字符開頭的行都會被注釋掉。smb.conf配置文件的主要參數(shù)如下表所示。節(jié)名稱配置參數(shù)描述[global]workgroup=MSGROUP指定Samba服務(wù)器所在的Windows工作組名稱為MSGROUP，設(shè)置工作組名稱后，Samba服務(wù)器會在該工作組中廣播MSGROUP組存在，并且可以與同一工作組中的其他計算機進行資源共享security=usersecurity參數(shù)用于控制Samba對客戶端進行身份驗證的方式，指定Samba如何驗證連接到該服務(wù)的用戶身份以便訪問Samba服務(wù)器上的共享資源。Samba服務(wù)配置與管理/etc/samba/smb.conf主要配置參數(shù)節(jié)名稱配置參數(shù)描述[global]security=usersecurity=user表示當(dāng)客戶端嘗試訪問Samba服務(wù)器時，服務(wù)器會要求客戶端提供用戶名和密碼。Samba服務(wù)器會驗證這些憑據(jù)，并根據(jù)用戶的權(quán)限設(shè)置來允許或拒絕訪問。security=share表示當(dāng)客戶端在連接到共享時不需要提供用戶名和密碼，不進行用戶級別的身份驗證。這種模式適用于不需要嚴(yán)格安全控制的共享環(huán)境passdbbackend=tdbsam指定Samba服務(wù)器用于存儲用戶賬戶和密碼的數(shù)據(jù)庫后端。Samba提供了多種數(shù)據(jù)庫后端選項，以便管理員選擇最適合其網(wǎng)絡(luò)環(huán)境的用戶身份驗證方法。tdbsam是Samba提供的一種默認(rèn)用戶數(shù)據(jù)庫后端，使用TDB（TrivialDatabase）來存儲用戶賬戶信息。TDB文件通常存儲在/var/lib/samba/private/passdb.tdb中printing=cups指定使用CUPS（CommonUNIXPrintingSystem）作為打印系統(tǒng)。CUPS是一個通用的打印系統(tǒng)，廣泛應(yīng)用于各種UNIX和Linux系統(tǒng)中，支持多種打印機類型和網(wǎng)絡(luò)打印協(xié)議printcapname=cups指定從CUPS獲取打印機能力信息[homes]comment=HomeDirectories設(shè)置共享的描述信息為HomeDirectories，在網(wǎng)絡(luò)瀏覽器或共享資源列表中顯示該描述，以幫助用戶了解該共享的用途或內(nèi)容browseable=no設(shè)置共享資源不可瀏覽，但用戶仍然可以通過直接路徑訪問共享readonly=no設(shè)置共享目錄為可寫，用戶可以在該目錄中創(chuàng)建、修改和刪除文件。如果設(shè)置為yes，則共享目錄為只讀createmask=0664指定創(chuàng)建文件時的權(quán)限掩碼directorymask=0775指定創(chuàng)建目錄時的權(quán)限掩碼hostsallow=.指定允許訪問Samba服務(wù)的主機列表的參數(shù)，列表可以通過逗號、空格或制表符分隔多個條目。如果沒有指定該參數(shù)，則所有主機都可以訪問Samba服務(wù)。hostsallow=.表示允許所有以.結(jié)尾的主機訪問Samba服務(wù)Samba服務(wù)配置與管理/etc/samba/smb.conf主要配置參數(shù)Samba服務(wù)配置與管理節(jié)名稱配置參數(shù)描述[Share]path=/home/share指定要共享的目錄路徑為/home/sharewritable=yes指定共享目錄可寫，允許所有經(jīng)過身份驗證的用戶對共享目錄進行讀寫操作。如果設(shè)置為no，則共享目錄為只讀。guestok=yes允許訪客用戶訪問共享資源，啟用后，未提供身份驗證的用戶（訪客用戶）也可以訪問共享資源validusers=fred,

@management指定允許訪問共享資源的用戶或組的列表，僅允許名為fred的用戶和屬于management組的所有用戶訪問共享目錄。不在列表中的用戶將無法訪問共享writelist=@management

root指定對共享資源具有寫訪問權(quán)限的用戶或組的列表，允許management組的所有成員和root用戶對共享目錄進行寫操作，即使writable參數(shù)設(shè)置為nohostsallow=172.25.指定允許訪問Samba服務(wù)的主機列表，允許所有IP地址以172.25.開頭的主機訪問Samba服務(wù)Samba服務(wù)配置與管理在smbserver服務(wù)器上安裝samba[root@smbserver~]#yum-yinstallsambasamba-clientcifs-utils啟動動Samba服務(wù)，設(shè)置防火墻[root@smbserver~]#systemctlstartsmbnmb[root@smbserver~]#systemctlenablesmbnmb[root@smbserver~]#firewall-cmd--peranent--add-service=samba[root@smbserver~]#firewall-cmd–reload將用戶andy、tom添加到Samba數(shù)據(jù)庫中，并為該帳戶設(shè)置密碼：[root@smbserver~]#smbpasswd-aandy[root@smbserver~]#smbpasswd-abob在使用andy、tom連接Samba服務(wù)器共享時，使用設(shè)置的密碼進行身份驗證。啟用Samba帳戶：[root@smbserver~]#smbpasswd-eexample驗證/etc/samba/smb.conf文件：[root@smbserver~]#testparmSamba服務(wù)配置與管理創(chuàng)建共享目錄[root@smbserver~]#mkdir-p/srv/samba/example/如果在強制模式下運行SELinux，在目錄上設(shè)置samba_share_t上下文:[root@smbserver~]#semanagefcontext-a-tsamba_share_t"/srv/samba/example(/.*)?"[root@smbserver~]#restorecon-Rv/srv/samba/example/添加共享參數(shù)，編輯主配置文件/etc/samba/smb.conf僅允許用戶andy和devopment組的成員，對共享devops具有讀寫訪問權(quán)限[devops]path=/srv/samba/example/writable=yeswritelist=andy,@devopmentvalidusers=andy,@devopmentSamba服務(wù)配置與管理在客戶端主機上安裝cifg-utils組件[root@client~]#yum–yinstsallcifs-utils手動掛載，可以使用用戶名掛載選項。該命令提示用戶輸入密碼[root@client~]#mount-ousername=andy//smbserver/devops/mntPasswordforoperator1@///devcode:redhat持久掛載devcode共享，編輯/etc/fstab//smbserver/devops/mntcifscredentials=/etc/samba/credentials,multiuser00憑據(jù)文件提供用于身份驗證的用戶名和密碼[root