Samba服務器

其主要是提供linux和windows之間互相訪問，也可以提供linux和linux之間互相訪問；

安裝： # yum install samba -y

配置文件的主目錄是放在 /etc/samba/ 這個目錄中

samba裝完之后，它有兩個daemon，一個是nmbd、SMBd

Nmbd主是為了給一些比較老的系統(tǒng)來訪問，比如：Netbios，正常情況下你使用IP地址來訪問時，沒有必須啟動這個服務；

Smbd 它是一個主的daemon，它的作用是共享某一個目錄以及提供一些用戶的身份驗證等

Samba所使用的端口號有四個：

UDP的137、138

TCP的 139、445

配置文件的講解：

# vim /etc/samba/smb.conf

這個下面講的是關于selinux的一些問題，如果smb在配置完之后，有什么問題，要考慮到selinux的布爾值的問題

這個是全局配置，在這里做過的配置，它將會影響到整個的samba服務器

這里的工作組，是windows里面的概念，如果要能和windows共享，這個工作組的組名必須和windows一樣

這個是關于這臺samba服務器的描述性信息 后面的 %V 它是一個變量，指samba版本

讓客戶端使netbios就能訪問我們的samba 服務器，默認沒有啟用

這句話的意思是，允許客戶端通過哪個接口來訪問SMB服務器，默認這行是注釋掉的，后面有寫lo和eth0兩個接口，如果把前面的注釋去掉的話，則客戶端可以通過eth0來訪問SMB服務器，就不能通過eth1來訪問SMB服務器（如果有多個接口的話），如果需要eth1接口也可以訪問的話，那就把eth1接口也加進來；

這行就是SMB自帶的防火墻，這里有寫允許哪些網(wǎng)段可以訪問SMB服務器，默認是注釋掉的；

這里寫的是關于日志的一些信息，最大是多大，超過最大數(shù)系統(tǒng)會給做一個回滾；

當客戶端來訪問SMB服務器，是通過什么形式來驗證的，如果后面寫的是user的話，客戶端來訪問SMB服務器時必須輸入用戶名和密碼；

如果你不想讓客戶端訪問SMB服務器的時候輸入密碼，你只要把后面的user改成share就可以了；如果你的環(huán)境中有一臺radio服務器，就是專門做驗證用的，你可以將后面的user改成server就可以了；

Domain members options這個選項是用來設置如何將這臺SMB服務器加入到 windows的活動目錄中去；

domain controller options這個選項是用來設置如何將這臺SMB服務器設置成DC，實際上是PDC（模擬域控制器）；也就是說如何讓這臺SMB變成PDC（模擬DC）

設置共享用的

這里設置的就是具體的共享，當你用某個用戶登錄的時候，它會把你的家目錄也同時的共享出去；

這部分是用來設置共享打印機的

下面開始寫具體的共享文件：

解釋：

[test] 表示共享出去在客戶端顯示的名字

Comment = first samba 表示注釋 （可有可無）

Path = /ovinzhang 表示真正共享的文件夾的絕對路徑的文件夾名

Writable = yes 表示客戶端是否具有寫權限（yes表示所有人都可以寫，no表示不可寫，

寫yes的時候，要把下面的一句write list這行給刪除掉就可以了）

Public = yes 表示匿名用戶是否可以訪問

Write list = ovinzhang 表示讓指定的用戶ovinzhang可以寫(但是writable后面必須等于yes)

Write list = @ovinzhang 表示ovinzhang這個組都可以寫

Write list = +ovinzhang 表示ovinzhang這個組都可以寫

Browseable = no 表示隱藏共享，把共享出去的文件給隱藏掉，可以直接輸入共享名訪問

如果selinux為permissive模式的話，客戶端是可以訪問SMB服務器的；

如果selinux為enforcing模式的話，客戶端是不可以訪問SMB服務器的；

如果是enforcing模式，那就必須把剛剛共享出去的/ovinzhang目錄上下文給更改一下

將/ovinzhang/這個目錄的上下文改成 samba_share_t ，這個時候客戶端就可以訪問SMB服務器了；

下面開始往SMB服務器新建文件，如下：

此時，顯示無法創(chuàng)建文件夾，拒絕訪問，這時我們就需要從以下幾個方面來考慮這個問題：

第一： 在配置文件中有沒有開啟寫權限；

第二： 當你訪問SMB共享出來的test時，實際上在服務器上是/ovinzhang，

這時就要看/ovinzhang這個目錄的權限了，是否允許其它人寫；

第三： 如果開啟了寫權限，還是寫不了的話，這時就要考慮selinux問題了，

看一下是不是上下文出現(xiàn)問題了；

下面我們就開始讓客戶端訪問SMB時要輸入密碼，如下：

這時，需要將standalone server options下面的 security = share改=user

User 要密碼

Share 不要密碼

Server 需要第三方驗證

注意：給samba服務器添加用戶時，這個用戶必須是系統(tǒng)中存在的用戶。

詳細如下：

# smbpasswd -a lduan 添加一個用戶

這個用戶的密碼可以和系統(tǒng)中的密碼不一樣，但是用戶必須是系統(tǒng)中存在的；

# smbpasswd -d lduan 禁用一個用戶

# smbpasswd -e lduan 啟用一個用戶

# smbpasswd -x lduan 刪除一個用戶

“-d” 表示disable 關閉

“-e” 表示enabled 啟用

“-x” 表示 delete 刪除

還可以使用下面的命令來添加用戶：

# pdbedit -a -u bob 添加bob用戶來samba用戶

使用下面的命令可以查看當前samba中添加了幾個用戶，如下：

# pdbedit -L顯示samba服務器用戶數(shù)量

# pdbedit -Lv bob 顯示bob用戶的詳細信息

然后就可以通過輸入用戶名和密碼登錄SMB服務器了，這時你會看到每個不同的用戶登錄SMB服務器時，都會顯示自己的家目錄，為什么叫？如下：

那是因為在share definitions下已經定義過了把用戶家目錄也共享出去的條目，截圖如下：

通過剛才的配置我們已經實現(xiàn)了，可以讓所有的人都能寫，也可以上所有的人不能寫，是通過writable = yes or no來實現(xiàn)的，當?shù)扔趛es時，所有的人都可以寫，當?shù)扔趎o的時候，所有的人都不可以寫，但是等于yes的時候，要把write list = 這一行給刪除掉就可以了；如果writable 等于no時，表示所有的人都不可以寫，要是想讓指定的人可以寫，就必須配合write list這行來做，只要把可以讓寫的用戶或者組給寫在write list后面就可以了，ovinzhang表示用戶；@ovinzhang表示組

單通過smb.conf文件是無法控制允許哪些用戶可以瀏覽共享文件，哪些用戶不可以瀏覽共享文件，我們需要使用下面的方法來實現(xiàn)，這時我們只要找到global settings這個下面加上句config file = /etc/samba/smb.conf.%U就可以了，具體的如下：

這個%U表示的是用戶的變量，代表一些用戶，這個config file后面是一個路徑，如果我們要想讓ovinzhang這個用戶可以瀏覽共享的文件夾，我們就在下面的目錄中新建一個叫 smb.confg.ovinzhang的文件，截圖如下：

這時，在/etc/samba/這個目錄下就有一個叫做 smb.conf.ovinzhang的文件，因為上面寫過了變量，就是說當ovinzhang這個用戶通過網(wǎng)絡訪問SMB服務器的時候，就會使用smb.conf.ovinzhang這個配置文件，而不會使用系統(tǒng)默認的smb.conf這個配置文件了，這時我們只要在smb.conf.ovinzhang這個文件中配置一下文件就可以，把browseable改成等于yes就可以了，也就是smb.conf.ovinzhang這個文件是可以瀏覽共享文件的！?。。。。。。?！

如果你要想檢查一下剛剛做的配置文件的語法有沒有問題，可以使用下面的命令：

# testparm

Linux客戶端可以使用下面的命令來訪問SMB服務器

# smbclient -L //192.168.24.10 –U ovinzhang 查看SMB共享

# smbclient //192.168.24.10/test –U ovinzhang 訪問SMB共享的test文件

這種方法也同樣適合登錄windows的共享文件。

查看當前連接到smb服務器的客戶端

# smbstatus

查看網(wǎng)絡中的共享機器

# smbtree

如何利用samba搭建成PDC

PDC的全稱：模擬域控制器

編輯配置文件：

# vim /etc/samba/smb.conf

這個下面的內容主機是講如何將SMB服務器加入到windows域中

這個下面主要是講如何將這臺SMB服務器變成PDC

下面我們就來編輯一下domain controller options這個選項下面的內容：

我們如果想讓這臺SMB服務器模擬PDC的話，我們要先啟用以下幾個功能：

這一行給啟用（去掉前面的注釋）后面只能是user

這兩行也給啟用(去掉前面的注釋)

然后我們再進入Browser Control Options 這個下面：

進入這個下面，找到下面三行也給啟用

將這三行也給啟用了

將這三行改成如下：

將local master=no 改成=yes

將 os level = 33 改成=100 數(shù)字越大級別越高

到目前為止，這臺機器已經變成了PDC了，已經有這個功能了

下面開始讓客戶端加入這個域；

首先在SMB服務器上建立一個賬戶，如下：

# mkdir /home/samba

# useradd -d /home/samba/tom tom 新建一個tom用戶，并且tom用戶的家目錄為/home/samba/tom

然后再將tom用戶加入samba 服務器：

# smbpasswd -a tom 或者 # pdbedit -a -u tom

添加好samba用戶之后，我們再將下面兩行的注釋給去掉，如下：

意思是當客戶端加入域之后，使用用戶登錄系統(tǒng)時，將會運行的腳本是什么

運行的腳本為test.bat(這個文件的路徑在用戶家目錄下有一個netlogon里面。/home/samba/tom/netlogon/)

然后再在這個目錄創(chuàng)建一個批處理文件，如下：

先創(chuàng)建這個目錄

# mkdir /home/samba/tom/netlogon

再建批處理

# vim /home/samba/tom/netlogon/test.bat

Net use k: /home

解釋一下這個批處理文件，把家目錄映射為K盤，否則它默認會映射到Z盤

到這里，test.bat這個批處理就已經寫好了，因為linux和windows里的格式又不一樣，所以我們必須在linux上裝一個工作具包 unix2dos，如下：

# yum install unix2dos -y

裝完之后，再將剛剛那個批處理文件給轉換一個格式，如下：

# unix2dos /home/samba/tom/netlogon/test.bat

意思是當系統(tǒng)windows系統(tǒng)剛登錄的時候，必須要初始化自己的桌面系統(tǒng)（及一些設置），就是將這些桌面系統(tǒng)和設置存放的路徑

將這個路徑改一下

然后再在這行下面加一句 logon home = \\%N\%U

“%N”表示PDC服務器的IP地址

“%U”表示用戶的家目錄

完成以上操作，PDC就配置的差不多了；

因為整個環(huán)境中沒有DNS服務器，所以我們還要打開一項功能，如下：

將wins支持給啟用起來；

因為你要實現(xiàn)PDC的話，必須要使用DNS，又因為我們整個環(huán)境中沒有DNS服務器，所以我們就使用wins服務器，也就是netbios；如果有DNS服務器，就不需要啟用這項功能了；

到現(xiàn)在為止，PDC就配置好了，下面需要重啟兩項服務如下：

# service smb restart

# service nmb restart 就是說當你使用netbios或者workgroup的時候，必須把nmb給打開

下面就在客戶端操作，如下：

首先將客戶端加入域，域的名字為了global settings下面的，workgroup= 后面的值ovinzhang