为了Windows主机与Linux服务器之间的资源共享,同时实现访问的控制,Linux操作系统提供的Samba服务可以实现这样的控管。Samba服务为两中不同的操作系统架起了一座桥梁,使Linux系统和Windows系统之间能够实现互相通信,为广泛的Linux爱好者提供了极大的方便,本文将以Redhat 5为例,简要介绍如何在Linux操作系统上搭建Samba服务以及Samba的配置过程进行简要讲解。
Samba服务的安装
默认情况下,Red Hat Enterprise Linux 5安装程序没有安装Samba服务,可以使用DVD源Yum安装简单方便,具体设定方法可在我的文章列表Search一下;
安装文件介绍:
samba-3.0.33-3.37.el5
---- 提供samba服务 (默认未装),这个软件主要提供了 SMB 服务器所需的各项服务程序 (smbd 及 nmbd) 的文件档以及其他与 SAMBA 相关的 logrotate 配置文件及开机默认选项档案等;
samba-common-3.0.33-3.37.el5
---- 提供服务器和客户机都必须使用的公共文件(默认已装),这个软件提供的则是服务器与客户端都会使用到的数据,包括 SAMBA 的主要配置文件 (smb.conf)、语法检验指令 (testparm) 等等;
samba-client-3.0.33-3.37.el5
---- 提供客户端工具支持(默认已装),这个软件则提供了当 Linux 做为 SAMBA Client 端时,所需要的工具指令,例如挂载 SAMBA 文件格式的 mount.cifs、 取得类似网芳相关树形图的 smbtree 等等;
system-config-samba-1.2.41-5.el5
---- 提供图形界面管理(默认未装);
源代码最新版本,下载地址:http://www.samba.org
yum安装:
#yum install samba
#yum install system-config-samba
Samba服务的进程
smbd:SMB服务器进程, smbd为SMB客户机,诸如Windows 9x/NT等提供Windows NT和Lan Manager风格的文件和打印服务;
nmbd:netbios服务器进程,nmbd提供浏览支持,使采用Linux操作系统的计算机用户可以融入使用netbios协议的windows网络;
Samba服务的端口
Samba服务使用的端口:137 138 139,配置Samba服务器之前,需要查看/etc/services 文件中以“netbios-”开头的记录,正确的记录文件应如下所示,如果这些记录前有#号或者没有这些记录,则用户无法访问linux服务器上的共享资源。
#cat /etc/services | grep netbios
netbios-ns 137/tcp #NETBIOS Name Service
netbios-ns 137/udp
netbios-dgm 138/tcp #NETBIOS Datagram Service
netbios-dgm 138/udp
netbios-ssn 139/tcp #NETBIOS session Service
netbios-ssn 139/udp
Samba服务启停
#service smb start or /etc/init.d/smb start 启动smb服务
#service smb stop or /etc/init.d/smb stop 停止smb服务
#service smb restart or /etc/init.d/smb restart 重启smb服务
#service smb status or /etc/init.d/smb status 检查smb服务状态
#ntsysv 或 #chkconfig –level 35 smb on 服务smb开机自动启动
Samba文件结构
Samba 版本为 3.x 版,旧版的 2.x 版在设定上有点不一样,因此在进入设定前请先确认你的 samba 版本。我们这里主要介绍的是预设的 3.x 版本的软件结构:
| /etc/samba/smb.conf | samba的主配置文件,由全局设置和共享定义两部分组成 |
| /etc/samba/lmhosts | 提供了局域网内主机的NetBIOS名与IP地址的对应;
此文件中每一行对应一个主机记录,前面是主机的IP地址,后面用空格隔开记录了这个IP地址对应主机的NetBIOS名,NetBIOS (Network Basic Input Output System,网络基本输入输出系统) 是Windows系统用来在局域网中进行通信连接的一种协议,主机间通过NetBIOS名来进行识别,为了能识别这种主机名,需要用户将局域网中的windows主机名(NetBIOS名称)与IP地址的对应关系列入此文件中,并一定要包括作为samba服务器的linux主机本身,如:127.0.0.1 通常一启动samba时就能自动捕捉到网络中相关IP对应的NetBIO名,所以此档案通常可以不用设定了; |
| /etc/samba/smbpasswd | 密码文件,此文件在samba服务安装后是不存在的,需要使用smbpasswd命令创建该文件;
samba服务和linux操作系统使用不同的密码文件,因此linux操作系统中的用户账号不能直接登录samba服务器,需要为linux用户创建新的samba用户帐号密码; 用户第一次使用smbpasswd命令创建samba服务的账号时,自动创建smbpasswd文件,命令格式 #smbpasswd -a Linux用户名; #smbpasswd –a user1 (user1已在linux系统中建立,-a后是linux用户名,需要输入密码) 命令执行完,user1的samba账号密码创建成功,在/etc/samba/目录下,将会创建smbpasswd文件; #smbpasswd –d 命令可停用samba帐户 #smbpasswd –e 命令可启用samba帐户 #smbpasswd -? 命令可以查询更多用法 最新版本的Linux系统核心中该文件改成为了/etc/Samba/passdb.tdb,以数据库方式存储,而不是以文本的方式存储,提高了安全性; |
| /etc/samba/smbusers | 用户文件,此文件提供了外部登录名与本地用户名的映射关系;
所谓用户映射是指用户在windows和linux系统中的不同账号映射为一个用户账号,在使用samba服务时做了映射后的windows账号,就可以直接使用windows账号访问; 设置用户映射需要在samba主配置文件smb.conf中进行修改,全局参数“username map”控制用户映射,通过该参数指定一个映射文件,默认情况下,这个映射文件就是/etc/samba/smbusers; 编辑smb.conf文件,做如下设置:username map = /etc/samb/smbusers,即该语句的注释符号#去掉; 编辑/etc/samba/smbusers文件,将需要进行映射的用户添加到文件中,参数格式为:独立linux账号 = 需映射的windows账号列表(账号列表中的用户名需用空格分隔,该参数格式说明多个windows用户账户可以映射为同一个samba账号); 例如:#Unix_name = SMB_name1 SMB_name2 … root = administrator admin nobody = guest pcguest smbguest |
| /var/lib/samba/private/{passdb.tdb,secrets.tdb} | 管理 Samba 的用户账号/密码时,会用到的数据库档案; |
| /usr/share/doc/samba-<版本> | 这个目录包含了 SAMBA 的所有相关的技术手册,当你安装好了 SAMBA 之后,你的系统里面就已经含有相当丰富而完整的 SAMBA 使用手册了,赶紧自行参考喔! |
| /usr/sbin/{smbd,nmbd} | 服务器功能,最重要的权限管理 (smbd) 以及 NetBIOS name 查询 (nmbd) 两个重要的服务程序; |
| /usr/bin/{tdbdump,tdbtool} | 服务器功能,在 Samba 3.0 以后的版本,用户的账号与密码参数已经转为使用数据库,Samba 使用的数据库名称为 TDB (Trivial DataBase), 数据库的控制指令:tdbdump 可以察看数据库的内容,tdbtool 则可以进入数据库操作接口直接手动修改帐密参数;需要安装 tdb-tools 软件; |
| /usr/bin/smbstatus | 服务器功能,可以列出目前 Samba 的联机状况, 包括每一条 Samba 联机的 PID, 分享的资源,使用的用户来源等等,让你轻松管理 Samba ; |
| /usr/bin/{smbpasswd,pdbedit} | 服务器功能,在管理 Samba 的用户账号密码时, 早期是使用 smbpasswd 这个指令,后来使用 TDB 数据库建议使用新的 pdbedit 指令来管理用户数据; |
| /usr/bin/testparm | 服务器功能,这个指令主要在检验配置文件 smb.conf 的语法正确与否,当你编辑过 smb.conf 时,请务必使用这个指令来检查一次,避免因为语法或书写错误引起的困扰; |
| /sbin/mount.cifs | 客户端功能,在 Linux 上我们透过 mount (mount.cifs) 来将远程主机分享的档案与目录挂载到自己的 Linux 主机上; |
| /usr/bin/smbclient | 客户端功能,Linux 主机想要由『网络上的芳邻』的功能来查看别台计算机所分享出来的目录与装置时,就可以使用 smbclient 来查看,也可以使用在自己的 SAMBA 主机上面,用来查看是否设定成功; |
| /usr/bin/nmblookup | 客户端功能,有点类似 nslookup,重点在查出 NetBIOS Name; |
| /usr/bin/smbtree | 客户端功能,有点像 Windows 系统的网络上的芳邻显示的结果,可以显示类似『靠近我的计算机』之类的数据, 能够查到工作组与计算机名称的树状目录分布图; |
smb.conf主配置文件
Samba 怎么设定啊?也是很简单,依据流程你可以这样想象:
1、服务器整体设定方面:在 smb.conf 当中设定好工作组、NetBIOS 主机名、密码使用状态 (无密码分享或本机密码) 等等;
2、规划准备分享的目录参数:在 smb.conf 内设定好预计要分享的目录或装置以及可供使用的账号数据;
3、建立所需要的文件系统:根据步骤 2 的设定,在 Linux 文件系统当中建立好分享出去的档案或装置,以及相关的权限参数;
4、建立可用 Samba 的账号:根据步骤 2 的设定,建立所需的 Linux 实体账号,再以 pdbedit 建立使用 Samba 的密码;
5、启动服务:启动 Samba 的 smbd, nmbd 服务,开始运转哩!
根据上面的流程,其实我们最需要知道的就是 smb.conf 这个配置文件的信息。 所以首先我们就要来介绍一下这个档案的设定方式,这个档案其实可以分为两部份来看, 一个是主机信息部分,在 smb.conf 当中以 [global] (全领域) 作为设定的依据;另一个则是分享的信息, 以个别的目录名称为依据。另外,由于 Samba 主要是想加入网芳功能,因此在 smb.conf 内的很多设定都与 Windows 类似:
- 在 smb.conf 当中,#号与;号 都是批注符号;
- 在这个配置文件中,大小写是没关系的,因为 Windows 不区分大小写;
smb.conf主配置文件由两个部分组成,分别是全局设置(Global Settings)和共享定义(Share Definitions);
- 全局设置设置关于samba服务整体运行环境的选项,针对所有共享资源,包括工作组、主机的 NetBIOS 名称、字符编码的显示、登录文件的设定、 是否使用密码以及使用密码验证的机制等等,都是在这个 [global] 项目中设定的;
- 共享定义设置共享目录,针对你开放的目录来进权限方面的设定,包括谁可以浏览该目录、是否可以读写等等参数;
- 设置完基本参数后使用“#testparm”命令检查语法错误,若看到“Loaded services file OK” 则表明配置文件加载正常,否则系统会提示出错的地方;
全局设置(Global Settings)
smb.conf 的服务器整体参数: [global] 项目 的参数主要有:
workgroup = 工作组的名称,注意主机群要相同;
netbios name = 主机的 NetBIOS 名称啊,每部主机均不同;
server string = 主机的简易说明,这个随便写即可;
另外,过去常常让使用者心生不满的语系显示问题方面,最新版本的Samba客戶端功能已经大幅修改了连线方式,采用格式为 CIFS 方式 (Common Internet File System) 已经不再有中文显示问题,无论客戶端是Windows or Linux,使用下面的指令连线:
#mount -t cifs -o username=my_name,password=my_pass //xxx.xxx.xxx.xxx/share_floder /dest
如果关于语系编码问题,建议你参考一下鸟哥讨论区的这一篇:http://phorum.vbird.org/viewtopic.php?t=22001
除此之外,还有登录文件方面的信息,包括这些参数:
log file = 登录档放置的档案,文件名可能会使用变量处理;
max log size = 登录档最大仅能到多少 Kbytes ,若大于该数字,则会被 rotate 掉;
还有网芳开放分享时,安全性程度有关的密码参数,包括这几个:
security = share, user, domain:三选一,这三个设定值分别代表:
share:分享的数据不需要密码,大家均可使用 (没有安全性);
user :使用 SAMBA 服务器本身的密码数据库,密码数据库与底下的 passdb backend 有关;
domain:使用外部服务器的密码,亦即 SAMBA 是客户端之意,如果设定这个项目, 你还得要提供『password server = IP』的设定值才行;
encrypt passwords = Yes 代表密码要加密,注意那个 passwords 要有 s;
passdb backend = 数据库格式,如前所述,目前密码文件已经转为使用数据库,默认的数据库格式为:tdbsam ,而预设的档案则放置到 /var/lib/samba/private/passwd.tdb;
事实上 Samba 的密码方面设定值很多,包括你还可以利用 samba 来修改 /etc/passwd 里的密码,不过这个时候就得需要『 unix password sync 』以及『 passwd program 』这两个参数值的帮忙。 我们这里先谈比较简单的,其他进阶的部分可以 man smb.conf 去进行搜寻查阅!
共享定义(Share Definitions)
共享定义内常见的参数主要与 Linux 系统的档案权限有关,因此这里设定参数多与权限有关;
[分享名称] :分享名称是一个网路芳邻看到的Share名称;
comment :目录说明;
path :设定实际操作的 Linux 文件系统的目录;
browseable :是否让所有的用户看到这个项目;
writable :是否可以写入, 设定为 yes 即可以写入,若read only也设定为 yes , 那最后出现的那个设定值为主要的设定;
create mode 与 directory mode 都与权限有关的咯!
writelist = 使用者, @群组,这个项目可以指定能够进入到此资源的特定使用者。 如果是 @group 的格式,则加入该群组的使用者均可取得使用的权限,设定上会比较简单!
smb.conf 内的可用变量功能
为了简化设定值,Samba 提供很多不同的变量给我们来使用,主要有底下这几个变量喔:
%S:取代目前的设定项目值,所谓的『设定项目值』就是在 [分享] 里面的内容!
举例来说,例如底下的设定范例:
[homes]
valid users = %S
……
因为valid users是允许的登入者,设定为%S表示任何可登入的使用者都能够登入的意思,今天如果test这个使用者登入之后,那个[homes]就会自动的变成了[test],%S的用意就是在替换掉目前[]里面的内容。
%m:代表client端的NetBIOS主机名称
%M:代表client端的Internet主机名称,就是HOSTNAME
%L:代表SAMBA主机的NetBIOS主机名称
%H:代表使用者的家目录
%U:代表目前登入的使用者的使用者名称
%g:代表登入的使用者的群组名称
%h:代表目前这部samba主机的hostname,注意是hostname,而不是NetBIOS name
%I:代表client的IP
%T:代表目前的日期与时间
smb.conf 配置内容
# This is the main Samba configuration file. You should read the smb.conf(5) manual page in order to understand the options listed here.
# Samba has a huge number of configurable options (perhaps too many!) most of which are not shown in this example
# For a step to step guide on installing, configuring and using samba, read the Samba-HOWTO-Collection.
# This may be obtained from: http://www.samba.org/samba/docs/Samba-HOWTO-Collection.pdf
# Many working examples of smb.conf files can be found in the Samba-Guide which is generated daily and can be downloaded from:
# http://www.samba.org/samba/docs/Samba-Guide.pdf
# Any line which starts with a ; (semi-colon) or a # (hash) is a comment and is ignored.
# In this example we will use a for commentry and a ; for parts of the config file that you may wish to enable.
# NOTE: Whenever you modify this file you should run the command "testparm" to check that you have not made any basic syntactic errors.
#======================= Global Settings(全局变量设置) ===============================
Samba服务器的工作模式及设置
在Samba主配置文件smb.conf中,一项重要的设置(Security 设置语句)就是Samba服务器的工作模式(也称"安全级别")的设置。其实也就是Samba服务器与Windows服务器之间的5种协调工作方式。这5种工作模式就是share、user、server、domain和 ads。下面分别介绍这5种工作模式的具体含义。
share(共享模式)
在这种模式下,用户对Samba服务器的访问无须进行身份验证,也就是不用输入用户名和密码(也就是允许匿名访问)用户的访问权限仅由相应用户对共享文件的访问权限决定。这是最简单,但也是最不安全的一种Samba服务器访问方式。除非是很小的网络,一般不这样设置。如果要设置成该模式,在主配置文件smb.conf中只需要把security语句设置成以下格式即可: security = share;
user(用户模式)
在这种模式下,用户对Samba服务器的访问是由Samba服务器依据本地账户数据库对访问用户进行身份验证的,安全级别比share模式高一些。这就要求每个访问用户必须在Samba服务器上有它本地的Linux用户账户(可以在 /etc/samba/smbusers文件中配置),当然也可以为各需要权限的用户在Samba服务器中新建相应的用户账户。这是Samba服务器的默认设置。
设置user工作模式时需要对smb.conf主配置文件按如下格式修改:
1. security = user # 设置工作模式为user
2. guest account = samba # 指定来宾账户为samba (当然可以是其他账户名称,也是需要正确输入账户名和密码的),出于安全考虑,通常不直接采用guest作为来 宾账户名,本语句需要新添加;如果不允许以来宾账户访问,则不用配置此语句;
3. encrypt passwords = yes # 设置对认证过程中的用户口令进行加密,本语句也是需要新添加;
4. smb passwd file = /etc/samba/smbpasswd # 设置Samba服务器的密码文件名和路径,本语句也需要新添加;
采用user模式设置后,需要设置Samba密码文件,建立smbpasswd文件中的用户账号和口令,使其与/etc/passwd的账号和口令相同。
server(服务器模式)
在这种模式下,必须指定用于对Samba服务器中对共享文件进行访问的用户进行身份验证的服务器。这种模式的用户访问是由其他专门的服务器对访问用户进行身份验证,安全级别又比user模式高一些。这个服务器可以是Windows NT/2000/2003或其他Samba服务器。Server模式与user模式其实是类似的,只不过实现身份验证的不是本地Samba服务器,而是网络中的其他服务器。如果在指定的服务器上身份验证失败,则退到user安全级,采用本地Samba服务器对访问用户进行身份验证。所以,从用户端来看,server模式和user模式没什么本质区别,只是用于身份验证的服务器的位置不一样。
设置server模式时需要对smb.conf文件进行如下修改:
1. security = server # 设置工作模式为server
2. guest account = samba # 指定来宾账户为samba(当然也可以是其他账户名称),本语句需要新添加;
3. password server = pwdserver # 指定用于身份验证的服务器NetBIOS名称,本语句也需要新添加;
4. encrypt passwords = yes # 指定用户口令在验证过程中加密发送,本语句也需要新添加;
5. smb passwd file = /etc/samba/smbpasswd #设置密码文件名和路径,本语句也需要新添加;
domain(域模式)
这种模式是把Samba服务器加入到Windows域网络中,作为域中的成员。但在这种模式中,担当用户对Samba服务器的访问身份验证的是域中的PDC(主域控制器),而不是Samba服务器。
采用这种模式时,主配置文件smb.conf需要进行以下修改:
1. security = domain # 设置工作模式为domain;
2. workgroup = domainname # 指定Windows域名(NetBIOS格式);
3. password server = PDC_NAME # 指定担当身份验证服务器的PDC的NetBIOS名称;
4. 同时要用"#"符号注释掉默认文件中的 smb passwd file =/etc/samba/smbpasswd语句;
ads(活动目录模式)
这是Linux系统Samba服务器的一种新工作模式(原来只有前4种),用于把Samba服务器加入到Windows 2000 Server、Windows Server 2003活动目录域中,并具备活动目录域控制器的功能。这时Samba服务器就相当于一台域控制器了,可以自己使用活动目录中的账户数据库对用户的访问进行身份验证。
采用ads工作模式时,主配置文件smb.conf需要进行以下修改:
1. security = ads # 设置工作模式为ads;
2. realm = MY_REALM # 指定Windows域名(DNS格式);
3. ads server = ads_server # 指定担当身份验证服务器的服务器DNS名称;