--
samba
smb (service message block 服務消息塊)
nfs: linux to linux
samba: linux to windows
smb使用的netbios通訊協議
netbios (network basic input/output system) --最早由IBM發展出來的目的為讓區域網內少數電腦進行網路連結的協議,初期的設定並不是針對大型網路,並且他是無法橫跨不同路由的; 微軟就使用了它進行區域網內的通訊
現在有所謂的netbios over tcp/ip 可以橫跨不同路由
netbeui (netbios extened user interface) 為IBM在netbios基礎上發展而來的改良版本
用samba登入某部windows主機,要加入此windows主機的群組(workgroup),並且也要設定一下netbios name (要求唯一),然後就可以視許可權進行資源的訪問了
samba通過兩個守護進程來控制
nmbd 用來管理workgroup,netbios name的解析等 用udp 的137,138埠
smbd 用來管理samba主機分享的目錄,檔案 用tcp的139和445 (TCP的可靠性)
cifs common interface file system
mount -t cifs -o username=administrator //ip/共享名 /mnt
特點:
1,能夠支持更詳細的訪問控制
2,能夠跨平台(linux和windows)共享文件
[root@li ~]# yum list |grep samba
This system is not registered with RHN.
RHN support will be disabled.
samba-common.i386 --公共的工具包,包括samba.conf和檢測其語法的測試工具testparm
samba.i386 --samba服務端
samba-client.i386 --客戶端的工具指令
samba-swat.i386 --圖形化samba配置工具,其於web介面
[root@li ~]# yum install samba* -y
伺服器端主配置文件: /etc/samba/smb.conf
netbios名與ip對應文件 /etc/samba/lmhosts
密碼存放文件: /etc/samba/passdb.tdb --用sampasswd -a加入用戶后就存在了
日誌文件: /var/log/samba/
man smb.conf --查找幫助
[root@li ~]# cat /etc/samba/smb.conf |grep -v "#" |grep -v ^";" |grep -v ^$
[global] --定義全局的參數
workgroup = MYGROUP --定義工作組
server string = Samba Server Version %v --定義伺服器的描述
security = user --定義工作模式:share,user,domain,ads
passdb backend = tdbsam --使用本地的.tdb文件保存賬號密碼
load printers = yes --載入印表機
cups options = raw --印表機類型
[homes] --保留的的資源名
comment = Home Directories
browseable = no
writable = yes
[printers] --保留的資源名
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes
security =
share 不用密碼,包括匿名用戶
user 使用samba自己的密碼資料庫
server,domain,ads 使用外部主機的密碼
共享目錄有關的參數
browseable 匿名用戶是否可見
public 是否讓所有可以登入的使用者看到,匿名用戶是否可以登錄
guest ok 和public一樣,使用其中之一就可以
writable 是否可寫
read only 是否只讀 --這個參數與writable同時存在會有衝突,以後面出現的設定值為主
create mode umask類似
valid users 指定能夠進入的使用者
[root@dns ~]# netstat -ntlup |grep bd
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 3859/smbd
使用linux的客戶端工具做測試:
smbclient - ftp-like client to access SMB/CIFS resources
on servers
[root@li ~]# smbclient -L //10.1.1.45
Password: --直接回車,表示以匿名用戶登錄,但沒有看到共享資源,只有伺服器的基本信息
[root@li ~]# smbclient -L //10.1.1.45 -U a --使用用戶名登錄,登錄失敗
Password:
session setup failed: NT_STATUS_LOGON_FAILURE
原因:
1,默認security = user 模式,這種模式指定訪問用戶需要密碼,匿名用戶除外
2, samba賬號有兩個要求,一,要求是系統用戶 二,要把系統用戶通過samba的命令把它加入到samba服務里去
[root@li ~]# smbpasswd -a a --注意是在服務端做
New SMB password:
Retype new SMB password:
Added user a.
[root@li ~]# smbclient -L //10.1.1.45 -U a --再使用a用戶登錄
Sharename Type Comment
--------- ---- -------
IPC$ IPC IPC Service (Samba Server Version 3.0.33-3.14.el5)
a Disk Home Directories --發現多了一個共享資源,共享資源名為用戶名一樣
[root@li ~]# smbclient //10.1.1.45/a -U a
Password:
Domain=[LI] OS=[Unix] Server=[Samba 3.0.33-3.14.el5]
smb: \> pwd --查看當前登錄的目錄
Current directory is \\10.1.1.45\a\
smb: \> ? --幫助
smb: \> help get --查看get命令的幫助
smb: \> ls --列表
smb: \> put install.log --上傳
putting file install.log as \install.log (966.9 kb/s) (average 966.9 kb/s)
smb: \> get vvv
getting file \vvv of size 0 as vvv (0.0 kb/s) (average 0.0 kb/s)
smb: \> rm vvv
windows客戶端登錄
在cmd下輸入 \\10.1.1.45\a
然後會彈出一個登錄界面,輸入用戶名和smbpasswd -a定義的密碼
上面的實驗知道,就是配置段內的homes這個保留資源
[homes] --定義共享資源的名字, 自動變成對應的用戶名
comment = Home Directories --資源描述
browseable = no --指定在匿名用戶使用-L時是否可見
writable = yes --表示可寫,能夠上傳刪除等操作
--也就是說默認samba是把每個伺服器端系統用戶的家目錄都共享了,但是需要smbpasswd -a加入smb帳號里
====================================================================
例2. share模式
# vim /etc/samba/smb.conf
[global]
workgroup = MYGROUP
server string = Samba Server Version %v
/etc/init.d/smb reload --重裝載smb服務
[root@li ~]# smbclient -L //10.1.1.45 --使用匿名用戶查看共享資源列表
Password:
Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.0.33-3.14.el5]
Sharename Type Comment
--------- ---- -------
share Disk public for everyone --可以看到這個新的共享資源
[root@li ~]# smbclient //10.1.1.45/share --使用匿名用戶登錄共享資源名為share
Password:
Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.0.33-3.14.el5]
Server not using user level security and no password supplied.
smb: \> put install.log --匿名用戶上傳失敗
NT_STATUS_ACCESS_DENIED opening remote file \install.log
smb: \> rm rc.local --也不能刪除
NT_STATUS_MEDIA_WRITE_PROTECTED deleting remote file \rc.local
--也就是說匿名用戶對這個新建的共享資源只能下載
例3 ,share模式下匿名用戶可寫
修改配置文件:
[share]
comment = public for everyone
path = /share
/etc/init.d/smb reload
再次上傳,還是發現失敗
原因:匿名用戶登錄的時候,samba是使用nobody的身份去操作的,而共享的/share目錄許可權屬性如下,nobody用戶是不能寫的
[root@li ~]# ll -d /share/
drwxr-xr-x 5 root root 4096 Aug 17 16:27 /share/
修改/share的目錄許可權,允許nobody用戶可寫
chmod 757 /share/
[root@li ~]# smbclient //10.1.1.45/share
Password:
smb: \> put install.log --再次上傳成功 --也可以刪除
putting file install.log as \install.log (2486.3 kb/s) (average 2486.3 kb/s)
例4,share模式,不允許匿名用戶登錄時的討論
修改配置文件:
[share]
comment = public for everyone
path = /share
guest ok = no --表示不允許匿名用戶登錄,或者public =no
browseable = yes
writeable = yes
總結: share 的特點
如果是guest ok =yes 的資源,就可以不用帳號和密碼訪問 ,但user模式是一樣的;
如果是guest ok = no 的資源,你還是不能匿名訪問.但有個注意的地方,只能在linux下的客戶端才能夠使用帳號和密碼訪問這些資源,在windows客戶端是不行,發現在登錄彈出框被鎖了
那到底和user有什麼區別?
區別就是share模式拒絕匿名用戶訪問,在linux下可以使用普通用戶去訪問它, windows客戶端匿名和普通用戶都登錄不上去了,因為登錄框被鎖,這是一個要注意的地方
還有就是在user模式,如果允許匿名用戶登錄,則在windows登錄框也不能匿名用戶登錄
--總結:對於自定義的共享資源,如果想要拒絕匿名登錄,則不要用share模式,用user模式.允許匿名登錄,則使用share模式.
--特殊情況:如果是share模式,guest ok =no,windows登錄框被鎖的情況.登錄共享資源登不上去;可以有個方法繞過去:就是先用普通用戶登錄自己的家目錄資源,也是被鎖,但可以直接輸密碼登錄上去.然後再登錄共享資源,還是被鎖,但這次可以直接輸普通用戶密碼登錄成功.
例5:user模式普通用戶可寫的情況
--和share模式一樣,首先你登錄的普通用戶對系統的共享目錄要有w許可權,服務內也要定義writable=yes或read only = no
例六:驗證writable 參數和 read only參數同時存在的情況
驗證guest ok參數和public參數同時存在的情況
[share]
comment = public for everyone
path = /share
browseable = yes
read only = yes --這裡表示只讀,也就是不可寫
writeable = yes --這裡表示可寫,與上面的參數衝突,後面的生效,
應該是可寫的
/etc/init.d/smb reload
[root@li ~]# smbclient //10.1.1.45/share -U a
Password:
Domain=[LI] OS=[Unix] Server=[Samba 3.0.33-3.14.el5]
smb: \> put 456 --上傳成功,表示可寫,驗證成功
putting file 456 as \456 (0.0 kb/s) (average nan kb/s)
--總結:這兩個參數是一對反義參數,如果同時存在,哪個在後,則哪個生效
--guest ok 和 public這是一對同義參數,如果同時存在,也是哪個在後,則哪個生效.
--這些參數,盡量只寫一個,防止衝突
例七.關於用戶互相能刪除文件的解決
使用b用戶登錄/share共享資源,也上傳兩個文件 678 和 789
查看一下用戶上傳的文件屬性
[root@li ~]# ls /share/ -l
total 60
-rwxr--r-- 1 a a 0 Sep 2 11:39 123
[root@li ~]# smbclient //10.1.1.45/share -U a
smb: \> rm 678
[root@li ~]# smbclient //10.1.1.45/share -U b
smb: \> rm 123
把a用戶上傳的456改成577,也就是自己對自己的文件沒有寫許可權
[root@li ~]# chmod 577 /share/456
[root@li ~]# ls /share/ -l
total 60
-r-xrwxrwx 1 a a 0 Sep 2 11:39 456
[root@li ~]# smbclient //10.1.1.45/share -U b --用b用戶去刪除,刪除失敗
smb: \> rm 456
NT_STATUS_CANNOT_DELETE deleting remote file \456
再次把a用戶上傳的456改成200,也就是自己對自己的文件只有寫許可權
[root@li ~]# chmod 200 /share/456
[root@li ~]# ls /share/ -l
total 60
--w------- 1 a a 0 Sep 2 11:39 456
[root@li ~]# smbclient //10.1.1.45/share -U b --用b用戶去刪除,刪除成功
smb: \> rm 456
分析總結: 只要文件的擁有者對這個文件有可寫的許可權,那麼別人就可以刪除它 (200許可權例子)
文件的擁有者對這個文件沒有可寫的許可權,別人就不能刪除它,連自己都不能刪除 (577許可權的例子)
解決方法:
chmod o t /share
@@@@@@@@@@@@@@@@@@@@@@@@@@@
--這個與ftp和系統不同;
ftp和系統一樣:就是用戶對目錄有寫許可權,就可以刪除裡面的任意文件
samba:只要文件的擁有者對這個文件有可寫的許可權,那麼別人就可以刪除它
但上面三種情況,想要不同用戶之間不能互相刪除,都是加t位來解決的
但ftp多個用戶登錄到同一個目錄,有一個問題就是,不同用戶如果能上傳的話,可以上傳一個同名的文件,那這樣就可能造成a用戶上傳一個同名文件把b用戶上傳的文件給覆蓋了
samba里默認就不允許上傳同名文件,samba適合做文件伺服器,多用戶登錄到同一個目錄
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
例八: create mask 和 directory mask 直接定義上傳后的文件或者目錄的許可權
[share]
comment = public for everyone
path = /share
browseable = yes
read only = yes
writeable = yes
create mask = 0444 --表示創建的或者上傳的文件許可權為444
directory mask = 0666 --表示創建的或者上傳的目錄許可權為666
/etc/init.d/smb restart
例九:user模式下,實現a用戶可以上傳下載,b用戶只能下載,拒絕匿名用戶訪問
valid users = a,b,@group --只允許a,b用戶和group組訪問
write list = a,@group --允許寫的用戶列表
[share]
comment = public for everyone
path = /share
guest ok = no --拒絕匿名用戶,或者使用public = no
write list = a --寫列表只允許a用戶寫,表示只允許a用戶上傳
/etc/init.d/smb reload
測試
例十:user模式下,實現a用戶可以上傳下載,b用戶只能下載,屬於smb組的用戶可以登錄和上傳下載,別的普通用戶和匿名用戶都拒絕
[share]
comment = public for a,b,@smb
path = /share
public = no
valid users = a,b,@smb --注意users不要寫成user
write list = a,@smb
[root@li ~]# useradd smb
[root@li ~]# useradd smb2 -g smb
[root@li ~]# smbpasswd -a smb
[root@li ~]# smbpasswd -a smb2
[root@li ~]# id smb
uid=521(smb) gid=521(smb) groups=521(smb)
[root@li ~]# id smb2
uid=522(smb2) gid=521(smb) groups=521(smb)
驗證OK
例十一:user模式下,實現boss用戶可以上傳下載,secretary用戶只能下載,屬於it組的用戶可以登錄並且可以上傳和刪除自己上傳的文件,互相之間不能刪除,互相之間不能下載別人的文件,但可以下載boss上傳的文件,別的普通用戶和匿名用戶都拒絕
[root@li ~]# useradd boss
[root@li ~]# useradd secretary
[root@li ~]# groupadd it
[root@li ~]# useradd -g it it1
[root@li ~]# useradd -g it it2
[root@li ~]# smbpasswd -a boss
[root@li ~]# smbpasswd -a secretary
[root@li ~]# smbpasswd -a it1
[root@li ~]# smbpasswd -a it2
user模式下
[test]
comment = hahahahahaha
path = /test
public = no
browseable = yes
valid users = boss,secretary,@it
write list = boss,@it
create mask = 0704
mkdir /test
chmod 757 /test
chmod o t /test
例十二: user模式下,實現a上傳下載(可以下載c上傳的),b只能下載(可以下載所有人上傳的),c只能上傳不能下載(但可以下載自己上傳的),都可以刪除自己的文件,互相不能刪除它人文件,其他用戶和匿名用戶登錄拒絕
此例的關鍵難點是在c用戶只能上傳,首先思考什麼情況才可以下載
-rw-r----- 1 root root 0 Sep 2 14:04 c1
-rw-r--r-- 1 root root 0 Sep 2 14:28 c2
能否下載的關鍵就是登錄的用戶對下載的文件是否有讀許可權,
上面兩個文件a用戶只能下載c2,不能下載c1
chmod o t /share
vim /etc/samba/smb.conf
config file = /etc/samba/smb.conf.%U --手動加上這一句,表示針對每個用戶都可以單獨寫一個配置文件,加在上面的全局[global]里
[share]
comment = public for a,b,@smb
path = /share
public = no
valid users = a,b,c
write list = a --這裡先不寫c,在下面c用戶自己的配置文件里寫
create mask = 0740 --上傳文件的許可權為740,表示c用戶沒有r許可權,c用戶下載不了
vim /etc/samba/smb.conf.c --建立一個c用戶的單獨的配置文件
[share]
comment = share for c
path = /share
writeable = yes --上面的寫列表裡沒有c,這裡要為yes,表示能上傳
create mask = 0604 --6表示c用戶上傳的許可權自己能讀能刪除,實現的是自己能下載自己上傳的需求;4表示a,b用戶能讀,實現的是a,b用戶能夠下載c上傳的文件
[root@li ~]# usermod -g a b --注意要把b用戶加到a組裡
例十三:訪問控制
注意寫到全局參數[global]下
1,拒絕10.1.1網段
hosts deny = 10.1.1.
1,拒絕10.1.1網段,但是允許10.1.1.35
hosts deny = 10.1.1.
hosts allow = 10.1.1.35
2,拒絕所有,但允許10.1.1網段,但又不允許10.1.1.45
hosts deny = all
hosts allow = 10.1.1. EXCEPT 10.1.1.45
也可以寫到單獨的共享資源下,只針對此共享資源來進行訪問控制
========================================================
samba補充知識點:
1,
smbpasswd
-a 添加smb用戶
-d 禁用smb用戶
-x 刪除smb用戶
-e 啟用被禁用的smb用戶
[root@li ~]# pdbedit -L
[root@li ~]# pdbedit -Lv
2,
linux客戶端的訪問除了
smbclient //10.1.1.45/share -U a
還可以掛載
mount -t smbfs -o username=a //10.1.1.45/share /mnt --samba-2.x版本
3,
testparm /etc/samba/smb.conf --測試配置文件
4,網頁samba控制工具
yum install samba-swat -y
vim /etc/xinetd.d/swat
service swat
{
port = 901 --埠為901
socket_type = stream
wait = no
only_from = 127.0.0.1 --只允許本地迴環訪問
user = root
server = /usr/sbin/swat
log_on_failure = USERID
disable = no --把yes改為no代表啟動
}
/etc/init.d/xinetd restart
[root@li test]# netstat -ntlup |grep 901
tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN 8201/xinetd
訪問方法:
http://127.0.0.1:901/ --只能用迴環地址訪問,因為/etc/xinet.d/swat的定義,
輸入系統用戶及其密碼就可以進入 用root用戶登錄,選項更多
====================================================
dhcp 動態主機配置協議
dynamic host configureation protocol
分配IP
一個客戶端獲取DHCP伺服器IP的過程:
客戶端先發一個DHCPDISCOVER包
伺服器收到后回應DHCPOFFER包
客戶端再發一個DHCPREQUEST包
伺服器再回應DHCPACK包,綁定地址
軟體包: dhcp dhcp-devel
yum install dhcp* --安裝軟體包
vim /etc/dhcpd.conf --主配置文件,默認為空,有下面的信息
# DHCP Server Configuration file.
# see /usr/share/doc/dhcp*/dhcpd.conf.sample
拷貝模塊配置文件
cp /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample /etc/dhcpd.conf
man dhcpd.conf --查看配置幫助
[root@li test]# cat /etc/dhcpd.conf
ddns-update-style interim; --動態更新DNS記錄的方式
ignore client-updates; --不啟用動態DNS記錄的功能
subnet 192.168.195.0 netmask 255.255.255.0 { --DNS所在網段,伺服器本身IP一定是固定,
要在同一個網段內
# --- default gateway
option routers 192.168.195.1;--指定客戶端獲取的默認路由
option subnet-mask 255.255.255.0;--默認路由的掩碼
option nis-domain "cluster.org";--客戶端獲取的NIS域名
option domain-name "cluster.org";--客戶端獲取的域名
option domain-name-servers 192.168.195.1;--給客戶端分配DNS的指向,也就是自動加到客戶端的/etc/reslov.conf
option time-offset -18000; # Eastern Standard Time
# option ntp-servers 192.168.1.1;--指定客戶端獲取的ntp伺服器
# option netbios-name-servers 192.168.1.1;
# --- Selects point-to-point node (default is hybrid). Don't change this unless
# -- you understand Netbios very well
# option netbios-node-type 2;
range dynamic-bootp 192.168.195.50 192.168.195.52; --分配給客戶端的IP地址範圍
default-lease-time 21600; --默認租約時間
max-lease-time 43200; --最大租約時間
# we want the nameserver to appear at a fixed address
host ns { --以MAC地址為基準,靜態IP地址與MAC綁定
next-server marvin.redhat.com;
hardware ethernet 12:34:56:78:AB:CD;
fixed-address 207.175.42.254;
}
}
下面以host-only網段來進行測試
[root@li ~]# cat !$
cat /etc/dhcpd.conf
ddns-update-style interim;
ignore client-updates;
subnet 172.16.163.0 netmask 255.255.255.0 {
# --- default gateway
option routers 172.16.163.1;
option subnet-mask 255.255.255.0;
option nis-domain "cluster.com";
option domain-name "cluster.com";
option domain-name-servers 172.16.163.1;
option time-offset -18000; # Eastern Standard Time
# option ntp-servers 192.168.1.1;
# option netbios-name-servers 192.168.1.1;
# --- Selects point-to-point node (default is hybrid). Don't change this unless
# -- you understand Netbios very well
# option netbios-node-type 2;
range dynamic-bootp 172.16.163.2 172.16.163.127;
default-lease-time 21600;
max-lease-time 43200;
# we want the nameserver to appear at a fixed address
host ns {
next-server marvin.redhat.com;
hardware ethernet 12:34:56:78:AB:CD;
fixed-address 207.175.42.254;
}
}
然後把虛擬機改成host-only網段,把網卡配置設置為dhcp分配,再/etc/init.d/network restart
驗證:
ifconfig --查看IP
cat /etc/resolv.conf --查看DNS指向
route -n --查看網關
nisdomainname --查看nis域
[root@localhost ~]# dhclient eth0
Internet Systems Consortium DHCP Client V3.0.5-RedHat
Copyright 2004-2006 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/
Listening on LPF/eth0/00:0c:29:c9:a6:47
Sending on LPF/eth0/00:0c:29:c9:a6:47
cat /var/log/message --查看DHCP過程的日誌
Mar 25 16:13:02 localhost kernel: eth0: link up
Mar 25 16:13:03 localhost dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 4
Mar 25 16:13:04 localhost dhclient: DHCPOFFER from 172.16.163.1
Mar 25 16:13:04 localhost dhclient: DHCPREQUEST on eth0 to 255.255.255.255 port 67
Mar 25 16:13:04 localhost dhclient: DHCPACK from 172.16.163.1
Mar 25 16:13:06 localhost NET[4719]: /sbin/dhclient-script : updated /etc/resolv.conf
Mar 25 16:13:06 localhost avahi-daemon[2294]: Registering new address record for 172.16.163.127 on eth0.
Mar 25 16:13:06 localhost dhclient: bound to 172.16.163.127 -- renewal in 8676 seconds.
[root@localhost ~]# cat /var/lib/dhclient/dhclient-eth0.leases
lease {
interface "eth0";
fixed-address 172.16.163.127;
option subnet-mask 255.255.255.0;
option time-offset -18000;
option routers 172.16.163.1;
option dhcp-lease-time 21600;
option dhcp-message-type 5;
option domain-name-servers 172.16.163.1;
option dhcp-server-identifier 172.16.163.1;
option nis-domain "cluster.com";
option domain-name "cluster.com";
renew 5 2011/3/25 10:37:42;
rebind 5 2011/3/25 13:28:04;
expire 5 2011/3/25 14:13:04;
}
服務端可以查看分配的信息
[root@li ~]# cat /var/lib/dhcpd/dhcpd.leases
lease 172.16.163.127 {
starts 5 2011/03/25 08:22:40;
ends 5 2011/03/25 14:22:40;
binding state active;
注意的是:同一個網段不要有多個DHCP伺服器,會造成客戶端獲取的混亂
如果有時候不能正常獲取到IP,把租約文件刪除,再獲取
本文出自 「linuxart」 博客,請務必保留此出處http://linuxart.blog.51cto.com/686203/843963
[火星人 ] linux16-samba已經有599次圍觀
