Samba配置案例

实验案例一 Samba服务器配置
一、实验环境
在公司局域网络中实现文件资源共享的Samba服务，以便于windows主机和Linux主机能互访共享资源。

二、需求描述
1、在Linux服务器建立一个可供匿名访问的共享文件夹
2、在Linux服务器上建一个需要验证的共享文件夹
三、实验步骤
（一）建立可匿名访问的文件共享实验步骤
1、安装Samba系统中至少安装samba,samba-client,samba-common三个软件包
2、建立可匿名访问的文件夹/var/public/movies，并设置权限。

3、修改Samba配置文件/etc/samba/smb.conf。

[root@ns1 ~]# vi /etc/samba/smb.conf
[global]
workgroup = WORKGROUP
security = share
[movie]
comment = public share with movie files
path = /var/public/movie
public = yes
read only = yes
4、测试配置文件
5、启动samba服务
6、在Windows客户端验证
1）可看见现在是匿名登录到samba服务器上的（不需要输入用户名与密码）
如果错误提示，可能是iptables 和Selinux的问题，先关闭他。

2）如果要让匿名用能写文件，按如下修改，重启服务。

[movie]
comment = public share with movie files
path = /var/public/movie
public = yes
read only = no
7、在Linux客户端上验证
方法一：smbclient工具
1）查看Samba服务器上的共享资源
如果出现以下错误提示
则在smb.conf文件中添加：
security=share
clientlanman auth=yes
lanmanauth=yes
2）以smbclient 访问服务器的共享目录
smbclient //192.168.1.3/moive //登录Samba服务器访问共享，用get\put就可以下载和上传文件了。

方法二：mount命令挂载到本地
1）把Samba服务上的共享目录movie挂载到本地目录/media/smbdir
（二）建立带验证的文件共享实验步聚
1、建立Samba用户tom，把root添加到Samba用户
2、为安全起见建立tom的别名为player ，作用是tom为系统用户这样不够安全
3、修改主配置文件如下：
vi /etc/samba/smb.conf
[global]
security = user
username map = /etc/samba/smbusers
[movie]
comment = public share with movie files
path = /var/public/movie
public = no
valid users =tom,@root
write list = root
directory mask = 0744
create mask = 0600
4、添加客户端地址授权设置
如：允许192.168.2..0/24 、173.16.16.0/24 网段的客户机访问samba服务器vi /etc/samba/smb.conf
添加如下内容：（//在［global］全局配置中指定允许访问的网段）
hosts allow = 192.168.2. 173.16.16.
5、测试配置文件，没有错误后重新启动smb服务。

# testparm
# service smb restart
6、在Windows客户端验证
1）以tom或player用户只有读的权限。

如果出现同用户多次连接的错误，删除访问摘要缓存,或者注销系统。

2）以root用户有读写的权限。

7、在Linux客户端上验证
1）查看Samba服务器上的共享资源
2) 以smbclient 访问服务器的共享目录
# smbclient –U tom //192.168.2.5/moive
3)把Samba服务上的共享目录挂载到本地目录/media/smbdir
# mkdir –p /media/smbdir
# mount –o username=tom //192.168.2.5/movie /media/smbdir
实验案例三 构建Samba文件共享服务器
一、实验环境
根据公司的信息化建设的要求，需要在局域网内部搭建一台文件服务器，便于对数据集中管理和备分，考虑到服务器的运行效率及稳定性、安全性，选择RHEL6操作系统构建Samba 服务器以提供文件资源的共享服务。

二、需求描述
¾在/var/share/目录中建立子目录public、rs、cw，用途如下
Public目录存放公共数据。

共享名为[public]，所有员工能只读匿名访问。

rs目录存放人事部数据，共享名为[人事部]，财务部有只读权限，人事部有读写的权限
cw存放财务部数据，共享名为[财务部]，只允许财务员工访问。

¾人事部组账号为rs，财务部组账号为cw。

三、实验步骤
1、新建共享目录
# mkdir –p /share/cw
# mkdir /share/rs
# mkdir /share/public
2、.新建samba账号
# groupadd rs
# groupadd cw
# useradd rs01 -g rs -G nobody -s /sbin/nologin
# useradd rs02 -g rs -G nobody -s /sbin/nologin
# useradd cw01 -g cw -G nobody -s /sbin/nologin
# useradd cw02 -g cw -G nobody -s /sbin/nologin 把系统账号转成samba账号
# smbpasswd -a rs01
# smbpasswd -a rs02
# smbpasswd -a cw01
# smbpasswd -a cw02
# pdbedit -L --查看samba用户
cw01:502:
rs02:501:
cw02:503:
rs01:500:
RHEL5
# ls /etc/samba/*tdb --用户和密码保存的位置/etc/samba/passdb.tdb /etc/samba/secrets.tdb
RHEL6
# ls /var/lib/samba/private
passdb.tdb secrets.tdb
3、设置目录的本地权限
# chown root.rs /share/rs
# chmod 770 /share/rs
# chown root.cw /share/cw
# chmod 770 /share/cw
# chmod 775 /share/public
4、共享对应的文件夹:
# vim /etc/samba/smb.conf
security = user
[人事部]
comment = 这是人事部的共享
path = /share/rs
public = no
valid users = @rs
read list = @rs
write list = rs01
printable = no
[财务部]
comment = 这是财务部的共享
path = /share/cw
public = no
valid users = @cw
read list = @cw
write list = cw01
printable = no
[public]
comment =这是公共的共享
path = /var/share/public
public = yes
read only = yes
------------
create mask=0644 --文件生成码
directory mask=0755 --文件夹生成码
force create mask=0644
force directory mask=0755
host allow=
host deny=
-------------
重启服务:
# testparm
# service smb restart
windows --删除访问摘要缓存,或者注销系统net use \\192.168.2.5/del
账号映射:
# vim /etc/samba/smb.conf
username map = /etc/samba/smbusers
# vim /etc/samba/smbusers
rs01 = 人事01
LINUX访问共享:
# smbclient -U rs01 -L 192.168.100.100
# mount -o username=rs01 -t cifs //192.168.100.100/人事部 /tmp
---------------------------------------
实验案例四 Linux加入Windows域
1、把Windows2003服务器升级为域控，Windows2003域控的网络参数
IP Address 192.168.2.3/24
DNS :192.168.2.3
FQDN:
2、linux主机网络参数
IP Address 192.168.2.2/24
DNS 192.168.2.3
Hostname zx
3、在linux主机安装Samba软件包。

Yun install samba* -y
4、编辑vi /etc/nsswitch.conf文件
在33行最后添加winbind和35行最后添加winbind。

NSS的作用：取得指定域的列表。

Winbind是Winbind是Samba套件的功能之一。

它允许Unix系统利用Windows NT的用户帐号信息。

winbind验证器是Samba winbindd服务进程的客户端。

在使用该验证器之前，必须安装Samba和运行winbindd服务。

winbind基本验证器的名字是wb_basic_auth。

它在squid.conf里看起来如下：
auth_param basic program /usr/local/squid/libexec/wb_basic_auth
5、配置samba的配置文件，vi /etc/samba/smb.conf。

[global]
workgroup = abc //域名
server string = Samba Server Version %v
netbios name = zx //Linux主机名
security = domain //域身份验证
passdb backend = tdbsam
realm = MY_REALM
password server = //密码服务器
wins support = yes
dns proxy = no
6、编辑vim /etc/krb5.conf
Krb是Kerberos的简称。

Kerberos采用对称密钥体制对信息进行加密。

其基本思想是：能正确对信息进行解密的用户就是合法用户。

用户在对应用服务器进行访问之前，必须先从第三方（Kerberos服务器）获取该应用服务器的访问许可证（ticket）。

7、重启一下所有的服务器。

Servic smb restart
Service winbind restart
Servive network restart
8、用下面命令把linux加入到windows域中。

7、再一次重启一下所有的服务器。

Servic smb restart
Service winbind restart
Servive network restart
8、下面是检查与测试的命令
9、在windows域上可以看到，这个zx已经加入。

PS：如果加域失败
¾先检查一下网络情况
¾检查一下防火墙
¾再检查一下DNS是否设置正确
¾一定得记着把服务给重起了。

李伟阶
2012-3-16。