安裝、啟動Samba服務(wù)配置Samba服務(wù)Samba服務(wù)器配置實例項目9安裝與配置Samba服務(wù)器02配置Samba服務(wù)安裝、啟動Samba服務(wù)01目錄03Samba服務(wù)器配置實例學(xué)習(xí)目標(biāo)知識目標(biāo)了解Samba服務(wù)的基本原理與文件結(jié)構(gòu)掌握主配置文件的主要配置能力目標(biāo)能配置Samba服務(wù)器能使用Linux和Windows客戶端共享Samba服務(wù)器資源素養(yǎng)目標(biāo)培養(yǎng)學(xué)生精益求精的工匠精神，讓他們明白只有多實踐，多積累，才能提高技藝，才能成為優(yōu)秀的“工匠”【項目場景】Samba最先搭起Windows和Linux溝通的橋梁，并且提供不同系統(tǒng)間的共享服務(wù)，還能擁有強大的打印服務(wù)功能，故其應(yīng)用環(huán)境非常廣泛。任務(wù)一安裝、啟動Samba服務(wù)（1）Samba應(yīng)用環(huán)境1.認(rèn)識Samba文件和打印機共享：這是Samba的主要功能，通過SMB進程實現(xiàn)資源共享，將文件和打印機發(fā)布到網(wǎng)絡(luò)中，以供用戶訪問。身份驗證和權(quán)限設(shè)置：smbd服務(wù)支持usermode和domainmode等身份驗證和權(quán)限設(shè)置模式，通過加密方式可以保護共享的文件和打印機。名稱解析：Samba通過nmbd服務(wù)可以搭建NBNS服務(wù)器，提供名稱解析，將計算機的NetBIOS名解析為IP地址。瀏覽服務(wù)：局域網(wǎng)中，Samba服務(wù)器可以成為本地主瀏覽服務(wù)器，保存可用資源列表，當(dāng)使用客戶端訪問Windows網(wǎng)上鄰居時，會提供瀏覽列表，顯示共享目錄，打印機等資源。任務(wù)一安裝、啟動Samba服務(wù)（2）了解SMB協(xié)議SMB（ServerMessageBlock）通信協(xié)議可以看作是局域網(wǎng)上共享文件和打印機的一種協(xié)議。它是Microsoft和Intel在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡(luò)的通信協(xié)議，而Samba則是將SMB協(xié)議搬到UNIX系統(tǒng)上來使用。通過“NetBIOSoverTCP/IP”，使用Samba不但能與局域網(wǎng)絡(luò)主機共享資源，也能與全世界的計算機共享資源。因為互聯(lián)網(wǎng)上千千萬萬的主機所使用的通信協(xié)議就是TCP/IP。SMB是在會話層和表示層以及小部分的應(yīng)用層的協(xié)議，SMB使用了NetBIOS的應(yīng)用程序接口API。另外，它是一個開放性的協(xié)議，允許協(xié)議擴展，這使得它變得龐大而復(fù)雜，大約有65個最上層的作業(yè)，而每個作業(yè)都超過120個函數(shù)。任務(wù)一安裝、啟動Samba服務(wù)（3）Samba相關(guān)進程Samba服務(wù)是由兩個進程組成，分別是nmbd和smbd。nmbd：其功能是進行NetBIOS名解析，并提供瀏覽服務(wù)顯示網(wǎng)絡(luò)上的共享資源列表。smbd：其主要功能就是用來管理Samba服務(wù)器上的共享目錄、打印機等，主要是針對網(wǎng)絡(luò)上的共享資源進行管理的服務(wù)。當(dāng)要訪問服務(wù)器時，要查找共享文件，這時我們就要依靠smbd這個進程來管理數(shù)據(jù)傳輸。任務(wù)一安裝、啟動Samba服務(wù)2.安裝并啟動Samba服務(wù)（1）建議在安裝samba服務(wù)之前，使用rpm-qa|grepsamba命令檢測系統(tǒng)是否安裝了samba相關(guān)性軟件包：[root@test~]#rpm-qa|grepsamba（2）如果系統(tǒng)還沒有安裝samba軟件包，在網(wǎng)絡(luò)暢通的前提下可以使用yum命令安裝所需軟件包。[root@test~]#yumcleanall #安裝前先清除緩存[root@test~]#yuminstallsamba-y任務(wù)一安裝、啟動Samba服務(wù)（3）所有軟件包安裝完畢，可以使用rpm命令再一次進行查詢：[root@test~]#rpm-qa|grepsambasamba-libs-4.10.16-20.el7_9.x86_64samba-common-libs-4.10.16-20.el7_9.x86_64samba-4.10.16-20.el7_9.x86_64samba-client-libs-4.10.16-20.el7_9.x86_64samba-common-4.10.16-20.el7_9.noarchsamba-common-tools-4.10.16-20.el7_9.x86_64任務(wù)一安裝、啟動Samba服務(wù)（4）啟動與停止samba服務(wù)，設(shè)置開機啟動。[root@test~]#systemctlstatussmb#查看samba服務(wù)狀態(tài)[root@test~]#systemctlstartsmb#啟動samba服務(wù)[root@test~]#systemctlstopsmb#停止samba服務(wù)[root@test~]#systemctlrestartsmb#重啟samba服務(wù)[root@test~]#systemctlenablesmb#自啟動samba服務(wù)任務(wù)二配置Samba服務(wù)1.Samba服務(wù)器配置的工作流程基本的Samba服務(wù)器的搭建流程主要分為5個步驟。（1）編輯主配置文件smb.conf，指定需要共享的目錄，并為共享目錄設(shè)置共享權(quán)限。（2）在smb.conf文件中指定日志文件名稱和存放路徑。（3）設(shè)置共享目錄的本地系統(tǒng)權(quán)限。（4）重新加載配置文件或重新啟動SMB服務(wù)，使配置生效。（5）關(guān)閉防火墻，同時設(shè)置SELinux為允許。任務(wù)二配置Samba服務(wù)2.主要配置文件smb.confsamba的配置文件一般就放在/etc/samba目錄中，主配置文件名為smb.conf。（1）Samba服務(wù)程序中的參數(shù)以及作用CentOS7的smb.conf配置文件已經(jīng)簡化，只有36行左右。為了更清楚地了解配置文件建議研讀smb.smf.example。samba開發(fā)組按照功能不同，對smb.conf文件進行了分段劃分，條理非常清楚。主配置文件的參數(shù)以及相應(yīng)的注釋說明如下表所示（表9.1）。任務(wù)二配置Samba服務(wù)任務(wù)二配置Samba服務(wù)【溫馨提示】為了方便配置，建議先備份smb.conf，一旦發(fā)現(xiàn)錯誤可以隨時從備份文件中恢復(fù)主配置文件。操作如下：[root@test~]#cd/etc/samba[root@testsamba]#ls[root@testsamba]#cpsmb.confsmb.conf.bak任務(wù)二配置Samba服務(wù)3.ShareDefinitions共享服務(wù)的定義先來看幾個最常用的字段：（1）設(shè)置共享名。共享名的設(shè)置非常簡單，格式為：[共享名]（2）共享資源描述。格式：comment=備注信息（3）共享路徑。格式：path=絕對地址路徑（4）設(shè)置匿名訪問。設(shè)置是否允許對共享資源進行匿名訪問，可以更改public字段。格式：public=yes#允許匿名訪問public=no#禁止匿名訪問任務(wù)二配置Samba服務(wù)【例1】samba服務(wù)器中有個目錄為/share，需要發(fā)布該目錄成為共享目錄，定義共享名為public，要求：允許瀏覽、允許只讀、允許匿名訪問。設(shè)置如下所示：[public]

comment=public

path=/share

browseable=yes

readonly=yes

public=yes任務(wù)二配置Samba服務(wù)（5）設(shè)置訪問用戶。如果共享資源存在重要數(shù)據(jù)的話，需要對訪問用戶審核，我們可以使用validusers字段進行設(shè)置。格式：validusers=用戶名validusers=@組名【例2】samba服務(wù)器/share/tech目錄存放了公司技術(shù)部數(shù)據(jù)，只允許技術(shù)部員工和經(jīng)理訪問，技術(shù)部組為tech，經(jīng)理賬號為manager。[tech]comment=tecchpath=/share/techvalidusers=@tech,manager任務(wù)二配置Samba服務(wù)（6）設(shè)置目錄只讀。共享目錄如果限制用戶的讀寫操作，我們可以通過readonly實現(xiàn)。格式：readonly=yes#只讀readonly=no#讀寫（7）設(shè)置過濾主機。hostsallow=192.168.10.上述程序表示允許來自或的訪問者訪問samba服務(wù)器資源。hostsdeny=192.168.2.上述程序表示不允許來自網(wǎng)絡(luò)的主機的訪問者訪問當(dāng)前samba服務(wù)器資源。任務(wù)二配置Samba服務(wù)【例3】samba服務(wù)器公共目錄/public存放大量共享數(shù)據(jù)，為保證目錄安全，僅允許0網(wǎng)絡(luò)的主機訪問，并且只允許讀取，禁止寫入。[public]comment=publicpath=/publicpublic=yesreadonly=yeshostsallow=0任務(wù)二配置Samba服務(wù)（8）設(shè)置目錄可寫。writable格式：writable=yes#讀寫writable=no#只讀writelist格式：writelist=用戶名writelist=@組名注意：[homes]為特殊共享目錄，表示用戶主目錄。[printers]表示共享打印機。任務(wù)二配置Samba服務(wù)4.samba服務(wù)的日志文件和密碼文件（1）samba服務(wù)日志文件在/etc/samba/smb.conf文件中，logfile為設(shè)置samba日志的字段。如下所示：logfile=/var/log/samba/log.%msamba服務(wù)的日志文件默認(rèn)存放在/var/log/samba/中，其中samba會為每個連接到samba服務(wù)器的計算機分別建立日志文件。使用ls-a/var/log/samba命令查看日志的所有文件。任務(wù)二配置Samba服務(wù)（2）samba服務(wù)密碼文件samba中添加賬號的命令為smbpasswd，格式為：smbpasswd-a用戶名【例4】在samba服務(wù)器中添加samba賬號reading。（1）建立Linux系統(tǒng)賬號reading。[root@test~]#useraddreading[root@test~]#passwdreading（2）添加reading用戶的samba賬戶。[root@test~]#smbpasswd-areading任務(wù)三Samba服務(wù)配置實例1.匿名用戶登錄的Samba服務(wù)器配置【項目背景】公司現(xiàn)有一個工作組SAMBA，需要添加samba服務(wù)器作為文件服務(wù)器，并發(fā)布共享目錄/share，共享名為public，此共享目錄允許所有員工訪問?！拘枨蠓治觥吭O(shè)置匿名訪問，public=yes，在samba服務(wù)器中的/share目錄下存放共享文件，/share目錄授權(quán)為nobody權(quán)限，以便所有員工下載或上傳共享文件。任務(wù)三Samba服務(wù)配置實例【實施步驟】一、samba服務(wù)器配置1.建立共享目錄，并在其下建立測試文件。[root@test~]#mkdir/share[root@test~]#vim/share/test.txt#輸入Helloeverybody!#由于要設(shè)置匿名用戶可以下載或上傳共享文件，所以要給/share目錄授權(quán)為nobody權(quán)限:[root@localhost/]#chown-Rnobody:nobody/share/任務(wù)三Samba服務(wù)配置實例2.修改Samba主配置文件smb.conf[global]workgroup=SAMBAsecurity=user

maptoguest=BadUserpassdbbackend=tdbsamprinting=cupsprintcapname=cupsloadprinters=yescupsoptions=raw[public]comment=publicpath=/sharepublic=yes任務(wù)三Samba服務(wù)配置實例3.禁掉SELinux。[root@test~]#getenforceEnforcing[root@test~]#setenforcePermissive//或者[root@test~]#setenforce0任務(wù)三Samba服務(wù)配置實例4.讓防火墻放行，這一步很重要。[root@test~]#firewall-cmd--permanent--add-service=sambasuccess[root@test~]#firewall-cmd--reload #重新加載防火墻Success//或者，初學(xué)者在測試階段亦可關(guān)閉防火墻。[root@test~]#systemctlstopfirewalld #關(guān)閉防火墻任務(wù)三Samba服務(wù)配置實例5.重新加載samba服務(wù)。[root@test~]#systemctlrestartsmb//或者[root@test~]#systemctlreloadsmb任務(wù)三Samba服務(wù)配置實例二、samba客戶端配置Samba服務(wù)程序不僅可以實現(xiàn)windows和Linux系統(tǒng)之間的文件共享，還可以實現(xiàn)Linux系統(tǒng)之間的文件共享。1.Windows客戶端訪問samba共享依次選擇“開始”→“運行”命令（或者使用win+r快捷鍵打開），使用UNC路徑直接進行訪問，例如\\192.168.10.3，如圖9-1所示。打開“Windows安全”對話框即可匿名正常訪問，如圖9-2所示。任務(wù)三Samba服務(wù)配置實例圖9-1圖9-2任務(wù)三Samba服務(wù)配置實例2.

Linux客戶端訪問samba共享（1）在Linux客戶端（IP：0）上安裝samba-client和cifs-utils。[root@test001~]#yumcleanall[root@test001~]#yum-yinstallsamba-clientcifs-utils任務(wù)三Samba服務(wù)配置實例（2）Linux客戶端使用smbclient命令訪問服務(wù)器。smbclient//目標(biāo)IP地址或主機名/共享目錄。[root@test001~]#smbclient///publicEnterSAMBA\root'spassword:Try"help"togetalistofpossiblecommands.smb:\>ls.D0WedOct1914:00:412022..D0WedOct1910:22:092022test.txtN18WedOct1914:00:412022 17811456blocksofsize1024.12982124blocksavailable任務(wù)三Samba服務(wù)配置實例2.指定用戶口令登錄的Samba服務(wù)器配置【項目背景】公司有多個部門，因工作需要，必須分門別類地建立相應(yīng)部門的目錄。要求將銷售部的資料存放在Samba服務(wù)器的/companydata/sales/目錄下集中管理，以便銷售人員瀏覽，并且該目錄只允許銷售部員工訪問?！拘枨蠓治觥吭?companydata/sales/目錄中存放有銷售部的重要數(shù)據(jù)，為了保證其他部門無法查看其內(nèi)容，我們需要將全局配置中security設(shè)置為user安全級別。這樣就啟用了Samba服務(wù)器的身份驗證機制。然后在共享目錄/companydata/sales下設(shè)置validusers字段，配置只允許銷售部員工能夠訪問這個共享目錄。任務(wù)三Samba服務(wù)配置實例【實施步驟】一、samba服務(wù)器配置1.建立共享目錄，并在其下建立測試文件。[root@test~]#mkdir-p/companydata/sales[root@test~]#touch/companydata/sales/test_share.tar任務(wù)三Samba服務(wù)配置實例2.添加銷售部用戶和組并添加相應(yīng)的Samba賬號。①使用groupadd命令添加sales組，然后執(zhí)行useradd命令和passwd命令，以添加銷售部員工的賬號及密碼。此處單獨增加一個test_user1賬號，不屬于sales組，供測試用。[root@test~]#groupaddsales #建立銷售組sales[root@test~]#useradd-gsalessale1#建立sale1，添加到sales組[root@test~]#useradd-gsalessale2#建立sale2，添加到sales組[root@test~]#useraddtest_user1 #供測試用[root@test~]#passwdsale1 #設(shè)置用戶sale1密碼[root@test~]#passwdsale2 #設(shè)置用戶sale2密碼[root@test~]#passwdtest_user1 #設(shè)置用戶test_user1密碼任務(wù)三Samba服務(wù)配置實例②為銷售部成員添加相應(yīng)Samba賬號。[root@test~]#smbpasswd–asale1[root@test~]#smbpasswd–asale2任務(wù)三Samba服務(wù)配置實例3.修改Samba主配置文件smb.conf。[global]workgroup=Workgroupserverstring=FileServer

security=user #設(shè)置user安全級別模式，默認(rèn)值

passdbbackend=tdbsamprinting=cupsprintcapname=cupsloadprinters=yescupsoptions=raw[sales] #設(shè)置共享目錄的共享名為salescomment=salespath=/companydata/sales #設(shè)置共享目錄的絕對路徑

writable=yesbrowseable=yesvalidusers=@sales #設(shè)置可以訪問的用戶為sales組任務(wù)三Samba服務(wù)配置實例4.設(shè)置共享目錄的本地系統(tǒng)權(quán)限。[root@test~]#chmod777/companydata/sales-R[root@test~]#chownsale1:sales/companydata/sales-R[root@test~]#chownsale2:sales/companydata/sales-R5.更改共享目錄的context值，或者禁掉SELinux。[root@test~]#chcon-tsamba_share_t/companydata/sales-R//或者：[root@test~]#setenforce0任務(wù)三Samba服務(wù)配置實例6.讓防火墻放行，這一步很重要。[root@test~]#firewall-cmd--permanent--add-service=sambasuccess[root@test~]#firewall-cmd–-reload //重新加載防火墻success7.重新加載samba服務(wù)。

[root@test~]#systemctlrestartsmb//或者:[root@test~]#systemctlreloadsmb任務(wù)三Samba服務(wù)配置實例二、samba客戶端配置1.Windows客戶端訪問samba共享依次選擇“開始”→“運行”命令，輸入\\192.168.10.3直接進行訪問。打開“Windows安全”對話框，輸入sale1或sale2及其密碼，如圖9-3所示。登錄后可以正常訪問，如圖