鸟哥的 Linux 私房菜 -- SAMBA 服务器

目前常见的 samba 版本为 3.x 版,旧版的 2.x 版在设定上有点不一样,因此在进入设定前请先确认你的 samba 版本。 咱们的 CentOS 6.x 主要提供的是 Samba 3.x 的版本,不过也有释出 4.x 的版本 (samba4),我们这里主要介绍的是预设的 3.x 版本的。那么你需要什么软件呢?基本上有这些:

• samba: 这个软件主要提供了 SMB 服务器所需的各项服务程序 (smbd 及 nmbd)、 的文件档、以及其他与 SAMBA 相关的 logrotate 配置文件及开机默认选项档案等;
  
  
• samba-client: 这个软件则提供了当 Linux 做为 SAMBA Client 端时,所需要的工具指令,例如挂载 SAMBA 文件格式的 mount.cifs、 取得类似网芳相关树形图的 smbtree 等等;
  
  
• samba-common: 这个软件提供的则是服务器与客户端都会使用到的数据,包括 SAMBA 的主要配置文件 (smb.conf)、语法检验指令 (testparm) 等等;

这三个软件你都得要安装才行喔!如果尚未安装的话,使用 yum 去装好它吧!安装完毕之后,你可以依序察看一下 Samba 的软件结构喔!与它相关的配置文件基本上有这些:

• /etc/samba/smb.conf: 这是 Samba 的主要配置文件,基本上,咱们的 Samba 就仅有这个配置文件而已,且这个配置文件本身就是很详细的说明文件了,请用 vim 去查阅它吧!主要的设定项目分为服务器的相关设定 (global),如工作组、NetBIOS 名称与密码等级等, 以及分享的目录等相关设定,如实际目录、分享资源名称与权限等等两大部分。
  
  
• /etc/samba/lmhosts: 早期的 NetBIOS name 需额外设定,因此需要这个 lmhosts 的 NetBIOS name 对应的 IP 檔。 事实上它有点像是 /etc/hosts 的功能!只不过这个 lmhosts 对应的主机名是 NetBIOS name 喔!不要跟 /etc/hosts 搞混了!目前 Samba 预设会去使用你的本机名称 (hostname) 作为你的 NetBIOS name,因此这个档案不设定也无所谓。
  
  
• /etc/sysconfig/samba: 提供启动 smbd, nmbd 时,你还想要加入的相关服务参数。
  
  
• /etc/samba/smbusers: 由于 Windows 与 Linux 在管理员与访客的账号名称不一致,例如: administrator (windows) 及 root(linux), 为了对应这两者之间的账号关系,可使用这个档案来设定
  
  
• /var/lib/samba/private/{passdb.tdb,secrets.tdb}: 管理 Samba 的用户账号/密码时,会用到的数据库档案;
  
  
• /usr/share/doc/samba-<版本>: 这个目录包含了 SAMBA 的所有相关的技术手册喔!也就是说,当你安装好了 SAMBA 之后,你的系统里面就已经含有相当丰富而完整的 SAMBA 使用手册了!值得高兴吧! ^_^,所以,赶紧自行参考喔!

至于常用的脚本文件案方面,若分为服务器与客户端功能,则主要有底下这几个数据:

• /usr/sbin/{smbd,nmbd}:服务器功能,就是最重要的权限管理 (smbd) 以及 NetBIOS name 查询 (nmbd) 两个重要的服务程序;
  
  
• /usr/bin/{tdbdump,tdbtool}:服务器功能,在 Samba 3.0 以后的版本中,用户的账号与密码参数已经转为使用数据库了!Samba 使用的数据库名称为 TDB (Trivial DataBase)。 既然是使用数据库,当然要使用数据库的控制指令来处理啰。tdbdump 可以察看数据库的内容,tdbtool 则可以进入数据库操作接口直接手动修改帐密参数。不过,你得要安装 tdb-tools 这个软件才行;
  
  
• /usr/bin/smbstatus:服务器功能,可以列出目前 Samba 的联机状况, 包括每一条 Samba 联机的 PID, 分享的资源,使用的用户来源等等,让你轻松管理 Samba 啦;
  
  
• /usr/bin/{smbpasswd,pdbedit}:服务器功能,在管理 Samba 的用户账号密码时, 早期是使用 smbpasswd 这个指令,不过因为后来使用 TDB 数据库了,因此建议使用新的 pdbedit 指令来管理用户数据;
  
  
• /usr/bin/testparm:服务器功能,这个指令主要在检验配置文件 smb.conf 的语法正确与否,当你编辑过 smb.conf 时,请务必使用这个指令来检查一次,避免因为打字错误引起的困扰啊!
  
  
• /sbin/mount.cifs:客户端功能,在 Windows 上面我们可以设定『网络驱动器机』来连接到自己的主机上面。在 Linux 上面,我们则是透过 mount (mount.cifs) 来将远程主机分享的档案与目录挂载到自己的 Linux 主机上面哪!
  
  
• /usr/bin/smbclient:客户端功能,当你的 Linux 主机想要藉由『网络上的芳邻』的功能来查看别台计算机所分享出来的目录与装置时,就可以使用 smbclient 来查看啦!这个指令也可以使用在自己的 SAMBA 主机上面,用来查看是否设定成功哩!
  
  
• /usr/bin/nmblookup:客户端功能,有点类似 nslookup 啦!重点在查出 NetBIOS name 就是了。
  
  
• /usr/bin/smbtree:客户端功能,这玩意就有点像 Windows 系统的网络上的芳邻显示的结果,可以显示类似『靠近我的计算机』之类的数据, 能够查到工作组与计算机名称的树状目录分布图!

大致的软件结构就是这样,底下就准备来讲一个简单的案例吧!这样比较好介绍配置文件项目啦!

既然 Samba 是要加入 Windows 的网芳服务当中,所以它的设定方式应该是要与网芳差不多才是。所以我们先来聊一聊 Windows 的一些网芳设定方法再说。在早期 Windows 的网芳设定真是很简单,不过也因为太简单, 所以产生的安全问题可是相当的麻烦的。后来在 Windows XP 的 SP2 (服务包第二版) 之后加入了很多的预设防火墙机制, 因此使用网芳的预设限制常常会是这样的:

• 服务器与客户端之间必须要在同一个网域当中 (否则需要修改 Windows 预设防火墙);
• 最好设定为同一工作组;
• 主机的名称不可相同 (NetBIOS name);
• 专业版 Windows XP 最多仅能提供同时 10 个用户联机到同一台网芳服务器上。

工作组与主机名的设定,你可以在『我的计算机』右键单击,选择内容后去修订相关的设定值。当你的 Windows 主机群符合上述的条件后,就很容易处理网芳分享的工作啦!分享的步骤一般是这样的:

1. 叫出档案总管,然后在要分享的目录、磁盘或装置 (如打印机) 上面按下右键,选择『共享』,然后就能够设定好分享的数据了;
2. 最好建立一组给用户使用的账号与密码,让其他主机的用户可以透过该账号密码联机进入使用网芳分享的资源;

真是有够简单的!那么 Samba 怎么设定啊?也是很简单,依据上述的限制以及流程你可以这样想象:

1. 服务器整体设定方面:在 smb.conf 当中设定好工作组、NetBIOS 主机名、密码使用状态 (无密码分享或本机密码) 等等;
2. 规划准备分享的目录参数:在 smb.conf 内设定好预计要分享的目录或装置以及可供使用的账号数据;
3. 建立所需要的文件系统:根据步骤 2 的设定,在 Linux 文件系统当中建立好分享出去的档案或装置,以及相关的权限参数;
4. 建立可用 Samba 的账号:根据步骤 2 的设定,建立所需的 Linux 实体账号,再以 pdbedit 建立使用 Samba 的密码;
5. 启动服务:启动 Samba 的 smbd, nmbd 服务,开始运转哩!

根据上面的流程,其实我们最需要知道的就是 smb.conf 这个配置文件的信息就是了。 所以首先我们就要来介绍一下这个档案的设定方式啰!这个档案其实可以分为两部份来看, 一个是主机信息部分,在 smb.conf 当中以 [global] (全领域) 作为设定的依据;另一个则是分享的信息, 以个别的目录名称为依据。另外,由于 Samba 主要是想加入网芳功能,因此在 smb.conf 内的很多设定都与 Windows 类似喔:

• 在 smb.conf 当中,井字号与分号 (# 跟 ;) 都是批注符号;
• 在这个配置文件中,大小写是没关系的!因为 Windows 没分大小写!

• ---

  smb.conf 的服务器整体参数: [global] 项目

在 smb.conf 这个配置文件当中的设定项目有点像底下这样:

# 会有很多加上 # 或 ; 的批注说明,你也可以自行加上来提醒自己相关设定
[global]
 参数项目 = 设定内容
 ....
[分享资源名称]
 参数项目 = 设定内容
 ....

在 [global] 当中的就是一些服务器的整体参数了,包括工作组、主机的 NetBIOS 名称、字符编码的显示、登录文件的设定、 是否使用密码以及使用密码验证的机制等等,都是在这个 [global] 项目中设定的。至于 [分享资源名称] 则是针对你开放的目录来进权限方面的设定,包括谁可以浏览该目录、是否可以读写等等参数。 在 [global] 部分关于主机名信息方面的参数主要有:

• workgroup = 工作组的名称:注意,主机群要相同;
• netbios name = 主机的 NetBIOS 名称啊,每部主机均不同;
• server string = 主机的简易说明,这个随便写即可。

另外,过去常常让使用者心生不满的语系显示问题方面,你务必要清楚的知道的是,SAMBA 服务器上面的数据 (例如 mount 磁盘分区槽的参数以及原本的数据编码), SAMBA 服务器显示的语系, Windows 客户端显示的语系, Windows 客户端连上 SAMBA 的软件 都需要符合设定值才行!在新版的 3.x 上面有数个提供这些语系转换的设定喔,如下所示:

• display charset = 自己服务器上面的显示编码, 例如你在终端机时所查阅的编码信息。一般来说,与底下的 unix charset 会相同。
• unix charset = 在 Linux 服务器上面所使用的编码,一般来说就是 i18n 的编码啰! 所以你必须要参考 /etc/sysconfig/i18n 内的『默认』编码。
• dos charset = 就是 Windows 客户端的编码了! 一般来说我们的繁体中文 Windows 使用的是 big5 编码,这个编码在 Samba 内的格式被称为『 cp950 』喔!

关于语系编码,建议你参考一下讨论区的这一篇:

• http://phorum.vbird.org/viewtopic.php?t=22001

我们的网友 eyesblue 写得太好了!所以建议大家直接前往查阅即可!在这里鸟哥将该文章内容作个例题来玩玩。

 unix charset = cp950
 display charset = cp950
 dos charset = cp950

除此之外,还有登录文件方面的信息,包括这些参数:

• log file = 登录档放置的档案,文件名可能会使用变量处理;
• max log size = 登录档最大仅能到多少 Kbytes ,若大于该数字,则会被 rotate 掉。

还有网芳开放分享时,安全性程度有关的密码参数,包括这几个:

• security = share, user, domain:三选一,这三个设定值分别代表:
  
  
  • share:分享的数据不需要密码,大家均可使用 (没有安全性);
  • user :使用 SAMBA 服务器本身的密码数据库,密码数据库与底下的 passdb backend 有关;
  • domain:使用外部服务器的密码,亦即 SAMBA 是客户端之意,如果设定这个项目, 你还得要提供『password server = IP』的设定值才行;
  
  
• encrypt passwords = Yes 代表密码要加密,注意那个 passwords 要有 s 才对!
  
  
• passdb backend = 数据库格式,如前所述,为了加快速度, 目前密码文件已经转为使用数据库了!默认的数据库格式微 tdbsam ,而预设的档案则放置到 /var/lib/samba/private/passwd.tdb。

事实上 Samba 的密码方面设定值很多喔,包括你还可以利用 samba 来修改 /etc/passwd 里头的人物的密码呢! 不过这个时候就得需要『 unix password sync 』以及『 passwd program 』这两个参数值的帮忙了。 我们这里先谈比较简单的,其他进阶的部分可以 man smb.conf 去进行搜寻查阅喔! ^_^

• ---

  分享资源的相关参数设定 [分享的名称]

这部分就是我们在前面的小范例当中说明的,要将 (1)哪个实际的目录 (2)分享成什么名称?中刮号里面放的是『分享名称』! 那在这个分享名称内常见的参数有:

• [分享名称] :这个分享名称很重要,它是一个『代号』而已。记得回去看看 16.2.2 里面提到的那个范例;
  
  
• comment :只是这个目录的说明而已!
  
  
• path :这个分享名称实际会进入的 Linux 文件系统 (目录)。 也就是说,在网芳当中看到的是 [分享] 的名称,而实际操作的文件系统则是在 path 里头所设定的。
  
  
• browseable :是否让所有的用户看到这个项目?
  
  
• writable :是否可以写入?这里需要注意一下喔!那个 read only 与 writable 不是两个蛮相似的设定值吗?如果 writable 在这里设定为 yes ,亦即可以写入,如果 read only 同时设定为 yes , 那不就互相抵触了!那个才是正确的设定?答案是:最后出现的那个设定值为主要的设定!
  
  
• create mode 与 directory mode 都与权限有关的咯!
  
  
• writelist = 使用者, @群组,这个项目可以指定能够进入到此资源的特定使用者。 如果是 @group 的格式,则加入该群组的使用者均可取得使用的权限,设定上会比较简单!

因为分享的资源主要与 Linux 系统的档案权限有关,因此里头的设定参数多与权限有关。

• ---

  smb.conf 内的可用变量功能

为了简化设定值,Samba 提供很多不同的变量给我们来使用,主要有底下这几个变量喔:

• %S:取代目前的设定项目值,所谓的『设定项目值』就是在 [分享] 里面的内容!举例来说,例如底下的设定范例:
  

  [homes]
   valid users = %S
   ....
  

  因为 valid users 是允许的登入者,设定为 %S 表示任何可登入的使用者都能够登入的意思〜今天如果 dmtsai 这个使用者登入之后,那个 [homes] 就会自动的变成了 [dmtsai] 了!这样可以明白了吗? %S 的用意就是在替换掉目前 [ ] 里面的内容啦!
• %m:代表 Client 端的 NetBIOS 主机名喔!
• %M:代表 Client 端的 Internet 主机名喔!就是 HOSTNAME。
• %L:代表 SAMBA 主机的 NetBIOS 主机名。
• %H:代表用户的家目录。
• %U:代表目前登入的使用者的使用者名称
• %g:代表登入的使用者的组名。
• %h:代表目前这部 SAMBA 主机的 HOSTNAME 喔!注意是 hostname 不是 NetBIOS name 喔!
• %I:代表 Client 的 IP 咯。
• %T:代表目前的日期与时间

以上就是在 smb.conf 上头常看到的几种设定项目,相信初次接触 Samba 的朋友,看到上头写的资料肯定是一头雾水的! 我们底下用几个小范例来实际的介绍 smb.conf 的设定后,你就会知道这些参数如何应用了! 记得,看完底下的下范例后,要回来再将这些参数的意义瞧一瞧, 而且若有其他额外的参数须知,务必自行 man smb.conf 喔!重要的很!

瞎密?不需要密码就能够使用 SAMBA 主机所提供的目录资源?真假?没错啦,可以达到的。不过,因为不需要密码就能够登入, 虽然你可以设定权限成为只读,让使用者可以『瞧瞧而已』,但是毕竟比较危险。 因为如果你不小心将重要数据放置到该分享的目录当中,岂不危险?所以尽量不要这样设定,所以标题才会讲:『纯测试』嘛!

• ---

  0. 假设条件

在底下的案例中,服务器 (192.168.100.254) 预计设定的参数状况为:

• 在 LAN 内所有的网芳主机工作组 (workgroup) 为: vbirdhouse
• 这部 Samba 服务器的 NetBIOS 名称 (netbios name) 为: vbirdserver
• 使用者认证层级设定 (security) 为: share
• 取消原本有放行的 [homes] 目录;
• 仅分享 /tmp 这个目录而已,且取名为: temp
• Linux 服务器的编码格式假设为万国码 (Unicode, 亦即 utf8)
• 客户端为中文 Windows ,在客户端的软件也使用 big5 的编码

老实说, netbios name 几乎可以不用设定了,因为现在我们都用 IP 进行网芳联机,不一定会使用主机名嘛! 所以这一版当中,鸟哥取消了 lmhosts 的设定值喔!好了,底下就开始依序来进行 samba 的设定吧!

• ---

  1. 设定 smb.conf 配置文件

由于我们有设定语系相关的数据,因此得要先查查看,到底我们 Linux 服务器的语系是否为 utf8 呢?检查方法如下:

[root@www ~]# cat /etc/sysconfig/i18n
LANG="zh_TW.UTF-8" <==确实是出现了 utf8 喔!

如上所示,确实是 utf8 啊!而在这个例子当中我们仅分享 /tmp 这个目录而已,而且假设这个分享出来的目录是可擦写的, 另外,我们并没有分享打印机喔!而在 smb.conf 当中的批注符号可以是『 # 』也可以是『 ; 』喔!要注意!

[root@www ~]# cd /etc/samba
[root@www samba]# cp smb.conf smb.conf.raw <==先备份再说!
[root@www samba]# vim smb.conf
# 1. 先设定好服务器整体环境方面的参数
[global]
 # 与主机名有关的设定信息
 workgroup = vbirdhouse
 netbios name = vbirdserver
 server string = This is vbird's samba server
 # 与语系方面有关的设定项目喔,为何如此设定请参考前面的说明
 unix charset = utf8
 display charset = utf8
 dos charset = cp950
 # 与登录文件有关的设定项目,注意变量 (%m)
 log file = /var/log/samba/log.%m
 max log size = 50
 # 这里才是与密码有关的设定项目哩!
 security = share
 # 修改一下打印机的加载方式,不要加载啦!
 load printers	= no
# 2. 分享的资源设定方面:主要得将旧的批注,新的加入!
# 先取消 [homes], [printers] 的项目,然后针对 /tmp 的设定,可浏览且可写入喔
[temp] <==分享资源名称
 comment = Temporary file space <==简单的解释此资源
 path = /tmp <==实际 Linux 分享的目录
 writable = yes <==是否可写入?在此例为是的
 browseable = yes <==能不能被浏览到资源名称
 guest ok = yes <==单纯分享时,让用户随意登入的设定值

请你特别留意,在原本的 smb.conf 上面就已经有很多默认值了,这些默认值如果你不知道他的用途, 尽量保留默认值,也可以使用 man smb.conf 去查询该默认值的意义。上述的设定是完全控制使用者的认证层级的呦!

• ---

  2. 用 testparm 查阅 smb.conf 的语法设定正确性

在启动 samba 之前,我们务必要了解到 smb.conf 里面语法是否正确,检验的方式使用 testparm 这个指令即可。 测试方式如下:

[root@www ~]# testparm
选项与参数:
-v :查阅完整的参数设定,连同默认值也会显示出来喔!
[root@www ~]# testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[temp]" <==看有几个中括号,若中刮号前出现讯息,则有错误
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions <==按 Enter 继续
[global] <==底下就是刚刚在 smb.conf 里头设定的数据!
 dos charset = cp950
 unix charset = utf8
 display charset = utf8
 workgroup = VBIRDHOUSE
 netbios name = VBIRDSERVER
 server string = This is vbird's samba server
 security = SHARE
 log file = /var/log/samba/log.%m
 max log size = 50
 load printers = No
[temp]
 comment = Temporary file space
 path = /tmp
 read only = No
 guest ok = Yes

上头是语法验证与各个项目的列出,如果你下达 testparm 却出现如下画面那就是有问题:

[root@www ~]# testparm
Load smb config files from /etc/samba/smb.conf
Unknown parameter encountered: "linux charset" <==中括号前为错误讯息!
Ignoring unknown parameter "linux charset"
Processing section "[temp]"
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions

如果发现上述的错误,这表示你的 smb.conf 有个『 linux charset 』的设定参数,不过 smb.conf 其实是不支持这个参数的。 可能的问题是 samba 2.x 与 samba 3.x 有一些项目的支持已经不存在了,所以你使用旧版的 2.x 配置文件来 3.x 上头执行时,就会出现问题。此外,『打字错误』也是很常见的一个问题吶!赶紧测试一下语法先, 然后根据 smb.conf 存在的项目去进行修改吧。

如果你想要了解 samba 的所有设定 (包括没有在 smb.conf 里头设定的默认值),可以使用 testparm -v 来作详细的输出, 资料相当的丰富,透过这个你也可以知道你的主机环境设定为何呢! ^_^

• ---

  3. 服务器端的服务启动与埠口观察

启动实在太简单了,利用预设的 CentOS 启动方式来处理即可。

[root@www ~]# /etc/init.d/smb start <==这一版开始要启动两个daemon
[root@www ~]# /etc/init.d/nmb start
[root@www ~]# chkconfig smb on
[root@www ~]# chkconfig nmb on
[root@www ~]# netstat -tlunp | grep mbd
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 :::139 :::* LISTEN 1772/smbd
tcp 0 0 :::445 :::* LISTEN 1772/smbd
udp 0 0 192.168.1.100:137 0.0.0.0:* 1780/nmbd
udp 0 0 192.168.100.254:137 0.0.0.0:* 1780/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 1780/nmbd
udp 0 0 192.168.1.100:138 0.0.0.0:* 1780/nmbd
udp 0 0 192.168.100.254:138 0.0.0.0:* 1780/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 1780/nmbd

特别注意,在 Samba 当中预设会启动多个端口,这包括数据传输的 TCP 端口 (139, 445),以及进行 NetBIOS 名称解析之类工作的 UDP 埠口 (137, 138),所以你才会看到很多数据的。那么能否仅支持 139 这个必要的埠口,关闭 445 呢?可以啊〜透过 testparm -v 的观察,可以发现『 smb ports = 445 139 』这个设定值指定两个埠口的,因此你可以在 smb.conf 增加这个设定值,并改为 smb ports = 139 即可。不过,建议先保留默认值啦!

• ---

  4. 假设自我为客户端的检验 (默认用 lo 接口)

关于客户端的观察我们会在后续进行介绍。在这里仅是说明如何确定我们的 Samba 设定与服务有顺利的在运作。 我们可以在本机上透过 smbclient 这支程序来处理,它的基本查询语法是这样的:

[root@www ~]# smbclient -L [//主机或IP] [-U 使用者账号]
选项与参数:
-L :仅查阅后面接的主机所提供分享的目录资源;
-U :以后面接的这个账号来尝试取得该主机的可使用资源

由于在这个范例当中我们并没有规范用户的安全等级 (share),所以不必使用 -U 这个选项,因此你可以这样看看:

[root@www ~]# smbclient -L //127.0.0.1 
Enter root's password: <==因为不需要密码,因此这里单击 [Enter] 吧!
Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2]
 Sharename Type Comment
 --------- ---- -------
 temp Disk Temporary file space
 IPC$ IPC IPC Service (This is vbird's samba server)
Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2]
 Server Comment
 --------- -------
 VBIRDSERVER This is vbird's samba server
 Workgroup Master
 --------- -------
 VBIRDHOUSE VBIRDSERVER

上表输出的信息当中,分享的目录资源 (Sharename) 就是在 smb.conf 当中设定的 [temp] 名称啰! 因此在这里的意思是:任何人都可以进入 //127.0.0.1/temp 这个目录当中, 而这个目录在 Linux 系统其实是 /tmp 目录。至于那个 IPC$ 则是为了要应付 Windows 环境所必须要存在的项目就是了。那么该如何使用这个资源呢?接下来我们可以利用 mount 这个指令来测试看看啰:

[root@www ~]# mount -t cifs //127.0.0.1/temp /mnt
Password: <==因为没有密码,所以这里还是按 Enter 即可
[root@www ~]# df
Filesystem 1K-blocks Used Available Use% Mounted on
....(前面省略)....
//127.0.0.1/temp/ 1007896 53688 903008 6% /mnt
[root@www ~]# cd /mnt
[root@www mnt]# ll <==以上这两个动作要进行!才会知道有没有权限的问题!
[root@www mnt]# touch zzz
[root@www mnt]# ll zzz /tmp/zzz
-rw-r--r--. 1 nobody nobody 0 Jul 29 13:08 /tmp/zzz
-rw-r--r--. 1 nobody nobody 0 Jul 29 13:08 zzz
# 注意喔!你进入 /mnt 身份会被压缩成为 nobody 呢!不再是 root 啊!
[root@www mnt]# cd ; umount /mnt

确实可以挂载的起来,所以,测试完毕后,就将这个挂载的资料卸除吧。关于 mount 的用法,我们会在后面的小节继续介绍。

基本上,到此为止咱们就设定好一个简单的不需要密码即可登入的 Samba 服务器了! 你可以先行到客户端软件功能的部分进行更细部的挂载测试。 接下来,让我们以简易的需要密码才能够登入 Samba 的方式来设计一个范例吧!

设定一部不需密码即可登入的 Samba server 是非常简单的,不过, 你总不希望某些有机密性质的资料放在不设防的网芳中让大家查阅吧? 举例来说,你总不希望你的家目录被人家随意浏览吧?家目录内可能有你自己的情书呢!^_^

那怎么办?没关系,我们可以透过 Samba 服务器提供的认证方式来进行用户权力的给予, 也就是说,你在客户端联机到服务器时,必须要输入正确的账号与密码后,才能够登入 Samba 查阅到你自己的数据! 那会不会很难啊?不会啦! Samba 本身就提供一个小程序来帮助我们处理密码的建立了,整个流程还不太难。

比较重要的是 Samba 使用者账号必须要存在于 Linux 系统当中 (/etc/passwd), 但是 Samba 的密码与 Unix 的密码档案并不相同 (这是因为 Linux 与网芳的密码验证方式及编码格式不同所致)。 这就比较有点小麻烦〜没关系,就让我们依样画葫芦来处理一下这个部分的设定吧!

• ---

  0. 假设条件

由于使用者层级会改变成 user 的阶段,因此 [temp] 已经没有必要存在!请将该设定删除或批注。 而服务器方面的整体数据则请保留,包括工作组等等的数据,并新增底下的资料:

• 使用者认证层级设定 (security) 为: user
• 用户密码档案使用 TDB 数据库格式,默认档案在 /var/lib/samba/private/ 内;
• 密码必须要加密;
• 每个可使用 samba 的使用者均拥有自己的家目录;
• 设定三个用户,名称为 smb1, smb2, smb3 ,且均加入 users 为次要群组。此三个用户 Linux 密码为 1234, Samba 密码则为 4321;
• 分享 /home/project 这个目录,且资源名称取名为: project;
• 加入 users 这个群组的使用者可以使用 //IP/project 资源,且在该目录下 users 这个群组的使用者具有写入的权限。

好了,开始一步步的处理吧!

• ---

  1. 设定 smb.conf 配置文件与目录权限相关之设定

在这个范例的配置文件当中,我们会新增几个参数,新增的参数部分会用特殊字体圈起来, 引用之前参数的部分则为一般字体。请交互参考看看啰:

# 1. 开始设定重要的 smb.conf 档案呦!
[root@www ~]# vim /etc/samba/smb.conf
[global]
 workgroup = vbirdhouse
 netbios name = vbirdserver
 server string = This is vbird's samba server
 unix charset = utf8
 display charset = utf8
 dos charset = cp950
 log file = /var/log/samba/log.%m
 max log size = 50
 load printers	= no
 # 与密码有关的设定项目,包括密码档案所在格式喔!
 security = user <==这行就是重点啦!改成 user 层级
 passdb backend = tdbsam <==使用的是 TDB 数据库格式!
# 2. 分享的资源设定方面:删除 temp 加入 homes 与 project
[homes] <==分享的资源名称
 comment = Home Directories
 browseable = no <==除了使用者自己外,不可被其他人浏览
 writable = yes <==挂载后可擦写此分享
 create mode = 0664 <==建立档案的权限为 664
 directory mode = 0775 <==建立目录的权限为 775
[project] <==就是那三位使用者的共享资源
 comment = smbuser's project
 path = /home/project <==实际的 Linux 上面的目录位置
 browseable = yes <==可被其他人所浏览到资源名称(非内容)
 writable = yes <==可以被写入
 write list = @users <==写入者有哪些人的意思
# 2. 每次改完 smb.conf 你都需要重新检查一下语法正确否!
[root@www ~]# testparm <==详细的 debug 请自行处理啰!

在上表当中比较有趣的设定项目主要有:

• [global] 修改与新增的部分:security 设定为 user 层级,且使用『passdb backend = tdbsam』这个数据库格式,因此密码文件会放置于 /var/lib/samba/private/ 内。 此外,默认密码就是加密的,因此不需要额外使用其他的设定参数来规范;
  
  
• [homes] 这个使用者资源共享部分: homes 是最特殊的资源共享名称,因为 Linux 上面的每位用户均有家目录,例如 smb1 的家目录位于 /home/smb1/ ,那当 smb1 用户使用 samba 时,她就会发现多了个 //127.0.0.1/smb1/ 的资源可用,而 smb2 就在 //127.0.0.1/smb2/ 这个资源。由于不可浏览 (browseable),所以除了使用者可以看到自己的家目录资源外,其他人是无法浏览的。此外,为了规范权限,而多了 create mode 与 directory mode 两个设定值 (此值可设定也可不理会);
  
  
• [project] 这个使用者资源共享部分:当我们新增一个共享资源时, 最重要的就是规范资源名称。在此例中我们使用 project 这个资源名称来指向 /home/project ,也就是说, //127.0.0.1/project 代表的是 /home/project 的意思。此外,能够使用这个资源的账号,为加入 users 这个群组的用户喔! 透过 write list 这个项目比较单纯,如果是早期的设定,可能会使用 valid users ,但近来鸟哥比较偏好 write list 设定项目。 不过能否顺利的存取档案还与 Linux 最底层的档案权限有关。

千万不要忘记了,除了配置文件之外,详细的目录权限与账号设定等规范也要设定好!底下我们用范例来进行此项工作!

[root@www ~]# mkdir /home/project
[root@www ~]# chgrp users /home/project
[root@www ~]# chmod 2770 /home/project
[root@www ~]# ll -d /home/project
drwxrws---. 2 root users 4096 Jul 29 13:17 /home/project