簡介:Samba服務用於在不同平臺(windows,linux)之間共享文件和打印機等。
注:本文不討論multiuser多用戶掛載的情況
題目:
安裝配置:(在服務器節點server0配置,在客戶端節點desktop0驗證)
1.server0節點安裝samba(服務主程序)和samba-client(提供smbpasswd用戶管理工具)
[root@server0 ~]# yum -y install samba samba-client2.配置防火牆放行samba服務
[root@server0 ~]# firewall-cmd --add-service=samba --permanent
success
[root@server0 ~]# firewall-cmd --reload
success
[root@server0 ~]# firewall-cmd --list-all
public (default, active)
interfaces: eth0
sources:
services: dhcpv6-client samba
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:3.創建共享目錄,並配置該共享目錄的SELinux上下文
[root@server0 ~]# mkdir /common
[root@server0 ~]# chmod o+w /common
[root@server0 ~]# semanage fcontext -a -t samba_share_t '/common(/.*)?'
Full path required for exclude: net:[4026532580].
Full path required for exclude: net:[4026532580].
[root@server0 ~]# restorecon -RFvv /common/
Full path required for exclude: net:[4026532580].
Full path required for exclude: net:[4026532580].
restorecon reset /common context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0
[root@server0 ~]# ls -ldZ /common
drwxr-xrwx. root root system_u:object_r:samba_share_t:s0 /common4.修改配置文件/etc/samba/smb.conf
[root@server0 ~]# vim /etc/samba/smb.conf
workgroup = STAFF
security = user
[common]
path = /common
browseable = yes
hosts allow = 172.25.0.0/24
writable = no
write list = brian5.添加本地用戶(bash爲nologin),並添加進samba數據庫進行管理(smbpass -a)
[root@server0 ~]# useradd -s /sbin/nologin rob
[root@server0 ~]# useradd -s /sbin/nologin brian
[root@server0 ~]# smbpasswd -a rob
New SMB password:
Retype new SMB password:
Added user rob.
[root@server0 ~]# smbpasswd -a brian
New SMB password:
Retype new SMB password:
Added user brian.
[root@server0 ~]# id rob
uid=1001(rob) gid=1001(rob) groups=1001(rob)
[root@server0 ~]# id brian
uid=1002(brian) gid=1002(brian) groups=1002(brian)6.重新啓動服務
[root@server0 ~]# systemctl restart smb nmb客戶端驗證1:
1.安裝cifs組件以支持samba協議類型的文件共享服務
[root@desktop0 ~]# yum -y install cifs-utils在客戶端desktop0創建兩個用戶rob=1002,brian=1001
[root@desktop0 ~]# tail -2 /etc/passwd
brian:x:1001:1001::/home/brian:/bin/bash
rob:x:1002:1002::/home/rob:/bin/bash服務端的uid情況:rob=1001;brian=1002
客戶端的uid情況:rob=1002;brian=1001
2.創建掛載點
[root@desktop0 ~]# mkdir /mnt/smbrob
[root@desktop0 ~]# mkdir /mnt/smbbrian3.分別以rob,brian用戶掛載到smbrob,smbbrian目錄
[root@desktop0 ~]# mount -t cifs -o username=rob,password=redhat //server0/common /mnt/smbrob/
[root@desktop0 ~]# mount -t cifs -o username=brian,password=redhat //server0/common /mnt/smbbrian/
[root@desktop0 ~]# df -h
Filesystem Size Used Avail Use% Mounted on
//server0/common 10G 3.1G 7.0G 31% /mnt/smbrob
//server0/common 10G 3.1G 7.0G 31% /mnt/smbbrian4.以root進入到/mnt/smbbrian目錄進行權限測試
[root@desktop0 smbbrian]# echo 'brian' > test1
[root@desktop0 smbbrian]# ll
total 1024
-rw-r--r--. 1 rob rob 6 Jul 24 22:39 test1結論是:
- 用brian用戶掛載的目錄,本地root用戶有可寫可讀權限
- 但是root所創建的文件所屬者顯示爲rob(這是因爲客戶端的用戶uid映射到了samba服務端的實際用戶uid)
- 因爲/mnt/smbbrian目錄是用brian用戶去掛載的,所以在這個目錄下創建的所有文件都屬於brian用戶(brian用戶在samba服務器端的用戶uid是1002),但是此處所創建的文件所屬者卻顯示爲rob(因爲samba只識別用戶uid號,並不識別用戶名;因爲用戶uid1002在客戶端對應的用戶是rob,所以就顯示爲了rob),實際上這個文件的真正所屬者是samba服務端用戶uid爲1002的用戶。
5.以root進入到/mnt/samrob目錄進行權限測試
[root@desktop0 smbrob]# echo 'rob' > test2
bash: test2: Permission denied
[root@desktop0 smbrob]# cat test1
brian結論是:
- 用rob用戶掛載的目錄,本地root用戶有隻有可讀權限,沒有寫入權限
客戶端驗證2:
1.查看rob和brian在服務器端的id
[root@server0 ~]# id rob
uid=1001(rob) gid=1001(rob) groups=1001(rob)
[root@server0 ~]# id brian
uid=1002(brian) gid=1002(brian) groups=1002(brian)2.刪除驗證1時在客戶端自動創建的用戶rob,brian
[root@desktop0 smbrob]# userdel -r rob
[root@desktop0 smbrob]# userdel -r brian服務端的uid情況:rob=1001;brian=1002
客戶端的uid情況:無rob,brian用戶
3.掛載步驟和驗證1一樣
4.以root進入到/mnt/smbbrian目錄進行權限測試
[root@desktop0 smbbrian]# echo 'brian222' > test3
[root@desktop0 smbbrian]# ll
total 2048
-rw-r--r--. 1 1002 1002 6 Jul 24 22:39 test1
-rw-r--r--. 1 1002 1002 9 Jul 24 23:02 test3結論是:
- 用brian用戶掛載的目錄,本地root用戶有可寫可讀權限
- 因爲brian用戶在samba服務端的uid爲1002,所以這裏就顯示爲1002
- 再次驗證了samba用uid來識別用戶,而非用戶名
5.以root進入到/mnt/samrob目錄進行權限測試
[root@desktop0 smbrob]# echo 'rob222' > test4
bash: test4: Permission denied
[root@desktop0 smbrob]# cat test3
brian222結論是:
- 用rob用戶掛載的目錄,本地root用戶有隻有可讀權限,沒有寫入權限
客戶端驗證3:
1.查看rob和brian在服務器端的uid
[root@server0 ~]# id rob
uid=1001(rob) gid=1001(rob) groups=1001(rob)
[root@server0 ~]# id brian
uid=1002(brian) gid=1002(brian) groups=1002(brian)2.刪除在客戶端自動創建的用戶rob,brian(驗證2以完成該操作);然後在客戶端再創建兩個用戶rob,brian,且用戶uid和samba服務端的用戶uid相同(bash爲默認/sbin/login)
[root@desktop0 smbrob]# useradd -u 1001 rob
[root@desktop0 smbrob]# useradd -u 1002 brian
[root@desktop0 smbrob]# id rob
uid=1001(rob) gid=1001(rob) groups=1001(rob)
[root@desktop0 smbrob]# id brian
uid=1002(brian) gid=1002(brian) groups=1002(brian)服務端的uid情況:rob=1001;brian=1002
客戶端的uid情況:rob=1001;brian=1002
3.掛載步驟和驗證1一樣
4.以root進入到/mnt/smbbrian目錄進行權限測試
[root@desktop0 smbbrian]# echo 'brian555' > test5
[root@desktop0 smbbrian]# ll
total 3072
-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1
-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3
-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5結論是:
- 結論和實驗2一樣,只是所屬者的uid1002對應上了本地用brian,所以就顯示爲brian了
5.以root進入到/mnt/samrob目錄進行權限測試
[root@desktop0 smbrob]# echo 'rob666' > test6
bash: test6: Permission denied
[root@desktop0 smbrob]# cat test5
brian555結論是:
- 結論和驗證2一樣
6.以brian,rob,student進入到/mnt/smbbrian目錄進行權限測試
[root@desktop0 ~]# su - brian
[brian@desktop0 ~]$ cd /mnt/smbbrian/
[brian@desktop0 smbbrian]$ echo 'brian777' > test7
[brian@desktop0 smbbrian]$ ll
total 4096
-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1
-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3
-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5
-rw-r--r--. 1 brian brian 9 Jul 24 23:24 test7
oot@desktop0 ~]# su - rob
[rob@desktop0 ~]$ cd /mnt/smbbrian/
[rob@desktop0 smbbrian]$ ll
total 4096
-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1
-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3
-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5
-rw-r--r--. 1 brian brian 9 Jul 24 23:24 test7
[rob@desktop0 smbbrian]$ echo 'rob888' > test8
-bash: test8: Permission denied
[rob@desktop0 smbbrian]$ cat test7
brian777
[root@desktop0 ~]# su - student
[student@desktop0 ~]$ cd /mnt/smbbrian/
[student@desktop0 smbbrian]$ eche 'student111' > file1
-bash: file1: Permission denied
[student@desktop0 smbbrian]$ ll
total 5120
-rw-r--r--. 1 brian brian 0 Jul 24 23:35 file1
-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1
-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3
-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5
-rw-r--r--. 1 brian brian 9 Jul 24 23:24 test7
-rw-r--r--. 1 brian brian 0 Jul 24 23:27 test8
-rw-r--r--. 1 brian brian 9 Jul 24 23:29 test9結論是:
- brian用戶因爲與samba服務器端brian用戶相同的uid,所以該用戶對/mnt/smbbrian目錄權限爲可讀寫
- rob用戶因爲與samba服務器端brian用戶相同的uid,所以該用戶對/mnt/smbbrian目錄權限爲只讀
- student 沒有寫入權限,但是有創建文件的權限(雖然提示Permission denied,但還是成功創建文件了,但是文件裏沒有能寫入內容)
7.以brian,rob,student進入到/mnt/smbrob目錄進行權限測試
[root@desktop0 ~]# su - brian
[brian@desktop0 ~]$ cd /mnt/smbbrian/
[brian@desktop0 smbbrian]$ echo 'brian999' > test9
[brian@desktop0 smbbrian]$ ll
total 5120
-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1
-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3
-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5
-rw-r--r--. 1 brian brian 9 Jul 24 23:24 test7
-rw-r--r--. 1 brian brian 0 Jul 24 23:27 test8
-rw-r--r--. 1 brian brian 9 Jul 24 23:29 test9
[root@desktop0 ~]# su - rob
[rob@desktop0 ~]$ cd /mnt/smbrob/
[rob@desktop0 smbrob]$ echp 'rob1010' > test10
-bash: test10: Permission denied
[rob@desktop0 smbrob]$ cat test9
brian999
[root@desktop0 ~]# su - student
[student@desktop0 ~]$ cd /mnt/smbrob/
[student@desktop0 smbrob]$ echo 'student222' > file2
-bash: file2: Permission denied
[student@desktop0 smbrob]$ ll
total 5120
-rw-r--r--. 1 brian brian 0 Jul 24 23:35 file1
-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1
-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3
-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5
-rw-r--r--. 1 brian brian 9 Jul 24 23:24 test7
-rw-r--r--. 1 brian brian 0 Jul 24 23:27 test8
-rw-r--r--. 1 brian brian 9 Jul 24 23:29 test9
[student@desktop0 smbrob]$ cat file1結論是:
- brian用戶因爲與samba服務器端brian用戶相同的uid,所以該用戶對/mnt/smbbrian目錄權限爲可讀寫
- rob用戶因爲與samba服務器端brian用戶相同的uid,所以該用戶對/mnt/smbbrian目錄權限爲只讀
- student 沒有寫入權限,也沒有創建文件的權限,只有讀權限
綜上所述:
- 在samba服務器端,權限由共享的目錄的普通權限和smb.conf配置文件共同約束
- samba服務的認證數據在samba的數據庫裏,而非系統用戶(用smbpasswd來管理samba用戶數據)
- samba服務使用uid來識別用戶,而非用戶名
- 在客戶端,所掛載的目錄權限由所掛載的用戶權限來決定(本地root用戶除外)