Linux系统管理实践(5)：Samba文件共享配置

     Samba是一个网络服务器，用于Linux和Windows共享文件之用；Samba 即可以用于Windows和Linux之间的共享文件，也一样用于Linux和Linux之间的共享文件；不过对于Linux和Linux之间共享文件有更好的网络文件系统NFS（NFS也是需要架设服务器的）。Samba可以定位为一套功能极为强大的文件服务器软件，所谓文件服务器就是将文件服务主机上的目录分享出来，让您可以透过网络对分享出来的目录里的文件，做执行、读取、写入等动作。基本上NT/2000的网域是使用NetBEUI做计算机命名服务，使用广播封包来侦测网络上有哪些计算机、哪些目录提供资源共享，而Samba与UNIX主机间的沟通（如目录、文件分享）是透过TCP/IP协议达成任务，Samba若要与NT网域做沟通，透过TCP/IP当然是行不通的，只好使用NetBIOS对NT网域做广播，让Windows机器能够认识它，进而成为NT网域成员；因此Samba是使用smbd守护进程透过TCP/IP联系Unix主机，而使用nmbd守护进程透过NetBIOS对NT/2000网域做联系，也就是说Samba使用两种机制达成资源共享的目的。
    若没有安装Samba，在Ubuntu中可以用sudo apt-get install来安装samba和smbfs（samba的文件系统）。smb是Samba的主要启动服务器，让其它机器能知道此机器共享了什么；如果不打开nmb服务器的话，只能通过IP来访问，比如在Windows的IE浏览器上键入下面的一条来访问：//192.168.1.5/共享目录。Samba服务的启动、重启和停止用"sudo /etc/samba/smb"后跟start、restart或stop。
    1、主要的Samba工具（服务器端和客户端）：
smbcacls    smbcontrol  smbencrypt  smbmount    smbprint    smbstatus   smbtree
smbclient   smbcquotas  smbpasswd   smbspool    smbtar      smbumount   testparm
testprns    swat        smbd        nmbd    
    smbclient：利用这个工具可连接其它 Unix like 的 Samba Server，或是连接 Windows 机器，以取得档案分享服务。
    testparm ：这个工具可让您测试smb.conf档定义是否正确。
    smbstatus：这个工具可用来显示目前client端连接到Samba Server的联机状况。
    nmblookup：这个工具可使用NT/2000网域内的主机名称查询出对应的IP地址。
    smbpasswd：这个工具可用来建立、变更登入 Samba server的加密密码。
    swat：这个工具让您可使用web接口（如：IE、Netscape）对Samba Server做组态设定。 　
    2、Samba配置文件： 为/etc/samba/smb.conf，Ubuntu下的默认内容为：

# Debian GNU/Linux下的Samba套件配置文件例子 # # 这是主要的Samba配置文件。为了理解这里列出的选项，你应该阅读smb.conf(5)手册页。 # Samba有一大堆的配置选项，有很多并没有在这里的例子中列出 # 任何以;号或#号开始的行都是注释，会被忽略。在这里的例子中，我们将使用#作为释放， # 使用;的行表示配置文件的选项，这个选项你可能希望激活它 # 注意：每当你修改这个文件时，你应该运行命令"testparm"进行检查，以确保你没有犯基本 # 的语法错误。 # #======================= 全局设置 ======================= [global] ####### 浏览/标识 ####### # Samba服务器要加入的Windows工作组名（即NT域名） workgroup = WORKGROUP # 在NT域中显示的Samba服务器名，%h为本机的主机名 server string = %h server (Samba, Ubuntu) # Windows因特网名字服务支持部分： # WINS支持 - 通知Samba的NMBD组件激活WINS服务器 ; wins support = no # WINS服务器 - 通知Samba的NMBD组件，让它作为一个WINS客户端 # 注意: Samba既可以是一个WINS服务器，也可以一个WINS客户端，但只能为其中之一 ; wins server = w.x.y.z # 这将禁止nmbd通过DNS搜索NetBIOS名称 dns proxy = no # 什么样的名字服务，以及我们应该用什么样的顺序来解析主机名：下面是对IP地址 ; name resolve order = lmhosts host wins bcast ####### 网络 ####### # 要监听的特定网卡/网络集：这可以是网卡名或网卡的IP地址/掩码；通常首选网卡名 ; interfaces = 127.0.0.0/8 eth0 # 只绑定到命名的接口或网络；你必须通过使用上面的'interfaces'选项来使用它。 # 如果你的Samba机器没有受防火墙的保护，或者它自己就是一个防火墙，则建议你激活本选项。 # 然而，本选项不能正确地处理动态的或非广播的接口 ; bind interfaces only = true #### 调试/记帐 #### # 设置Samba为每个连接的机器使用独立的日志文件，%m表示客户机的netbios名 log file = /var/log/samba/log.%m # 设置Samba Server日志文件的最大容量，单位为kB，0代表不限制 max log size = 1000 # 是否只通过syslog来记录日志消息 ; syslog only = no # 我们想让Samba记录最小数量的日志消息到syslog中。所有消息应该记录到/var/log/samba/log.{smbd,nmbd}中。 # 如果你想通过syslog来记录日志，你应该把下面的参数设置得大一点 syslog = 0 # 当Samba崩溃时做一些可感觉到的动作：发送一个回溯信息给管理员 panic action = /usr/share/samba/panic-action %d ####### 认证 ####### # 设置Samba服务器的安全性等级。user等级表示每个访问服务器的用户需要在服务器上 # 有一个Unix账号，这总是一个好主意。其他细节可参考 # /usr/share/doc/samba-doc/htmldocs/Samba3-HOWTO/ServerType.html ; security = user # 表示是否指定用户密码以加密的形态发送到SAMBA服务器 encrypt passwords = true # 如果你正使用加密的密码，Samba将需要知道你使用的密码数据库类型 passdb backend = tdbsam obey pam restrictions = yes # 此项默认不使用，它是用来设置Guest帐号名 ; guest account = nobody # 指定登录无效的用户，即不能用这些用户来登录 invalid users = root # 用来控制当passdb中的加密SMB密码被更改时，是否进行同步 unix password sync = yes # 指定设置UNIX帐号密码的程序，其中%u表示用户名称 passwd program = /usr/bin/passwd %u passwd chat = *Enter/snew/s*/spassword:* %n/n *Retype/snew/s*/spassword:* %n/n *password/supdated/ssuccessfully* . # 表示可以使用PAM来修改SMB客户端的密码，而不使用“passwd program”选项中指定的程序 pam password change = yes # 控制成功的认证怎样映射到匿名连接 map to guest = bad user ########## 域 ########### # 表示本机器能对用户进行登录认证。主控制器PDC和从控制器BDC都必须激活本选项。如果你是BDC，则你必须把 # 'domain master'设置为no ; domain logons = yes # # 下面的设置只有在'domain logons'被设设置时才会起作用： # 指定用户配置文件所在的目录（从客户端的角度看），接着需要在samba服务器上 # 有一个[profiles]共享（参看下面） ; logon path = //%N/profiles/%U # 配置文件存放的路径：在用户的主目录中 ; logon path = //%N/%U/profile # 下面的设置只有在'domain logons'被设设置时才会起作用： # 指定用户主目录的位置（从客户端的角度看） ; logon drive = H: ; logon home = //%N/%U # 下面的设置只有在'domain logons'被设设置时才会起作用： # 指定登录时运行的脚本，它必须存放在[netlogon]共享中 # 注意：必须按DOS文件的格式约定来存放 ; logon script = logon.cmd # 设置允许通过SAMR RPC管道在域控制器中创建Unix用户账号。这里表示创建一个带有失效的Unix密码的 # 用户账号，可以修改它以适应你的需要 ; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u ########## 打印 ########## # 设置在开机时自动加载浏览列表，以共享打印机 ; load printers = yes # 指定打印系统的类型，这里为lpr(ng)打印 ; printing = bsd # 设置打印机配置文件名 ; printcap name = /etc/printcap # CUPS打印，参看cupsys-client包中的cupsaddsmb(8)手册页 ; printing = cups ; printcap name = cups ############ 杂项 ############ # 允许SAMBA服务器使用其他的配置文件，%m表示客户机的netbios名 ; include = /home/samba/etc/smb.conf.%m # 用来设置服务器和客户端之间会话的Socket选项，可以优化传输速度 # 更多细节参看smb.conf(5)和/usr/share/doc/samba-doc/htmldocs/Samba3-HOWTO/speed.html # Y你可能想在Linux系统中添加下面两项: # SO_RCVBUF=8192 SO_SNDBUF=8192 socket options = TCP_NODELAY # 下面的参数仅在安装了linpopup包后才会有用 ; message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' & # 设置Samba服务器是否要成为网域的主浏览器，网域主浏览器可以管理跨子网域的浏览服务 # 如果你要把本机器配置成从控制器，则必须设置成'no' ; domain master = auto # 一些winbind方面的默认配置 ; idmap uid = 10000-20000 ; idmap gid = 10000-20000 ; template shell = /bin/bash # 下面是sarge中的默认行为 ; winbind enum groups = yes ; winbind enum users = yes # 设置usershare选项，以允许非root用户用net usershare命令来共享文件 # usershare的最大值，0(默认即为0)意味着usershare不激活 ; usershare max shares = 100 # 允许有usershare特权的用户创建公共的共享，而不只是授权一个共享 usershare allow guests = yes #======================= 共享定义 ======================= # 取消下面的注释，会激活默认用户目录的共享。这将把每个用户的主目录共享为//server/username ;[homes] ; comment = Home Directories ; browseable = no # 用户主目录是否设置为只读，如果你想让它可写，则设置为no ; read only = yes # 由于安全的原因，文件创建掩码设置为0700，如果你想以group=rw的权限创建文件，则应设置为0775 ; create mask = 0700 # 由于安全的原因，文件创建掩码设置为0700，如果你想以group=rw的权限创建文件，则应设置为0775 ; directory mask = 0700 # 默认情况下，//server/username共享能被任何连接samba服务器的用户访问。取消下面的 # 注释可确保只有username能连接到//server/username，%S表示当前登录的用户名 ; valid users = %S # 取消下面的注释，可为基于域的登录创建netlogon目录（你还需要配置Samba作为一个域控制器） ;[netlogon] ; comment = Network Logon Service ; path = /home/samba/netlogon ; guest ok = yes ; read only = yes ; share modes = no # 设置存放配置文件的共享目录 # 取消下面的注释，可创建profiles目录来存放用户的配置文件（参看上面的'logon path'选项， # 你还需要配置Samba作为一个域控制器）。下面的路径应该对所有用户可写，以便当他们第一次登录 # 时能够创建他们的配置目录 ;[profiles] ; comment = Users profiles ; path = /home/samba/profiles ; guest ok = no ; browseable = no ; create mask = 0600 ; directory mask = 0700 # 设置共享的打印机目录 [printers] comment = All Printers browseable = no path = /var/spool/samba printable = yes guest ok = no read only = yes create mask = 0700 # Windows客户端使用这个共享名作为下载打印驱动的源位置 [print$] comment = Printer Drivers path = /var/lib/samba/printers browseable = yes read only = yes guest ok = no # 允许写入该共享的用户，把下面的ntadmin改为Windows系统管理员所在的组名 ; write list = root, @ntadmin # 一个例子：对你的CD_ROM进行共享 ;[cdrom] ; comment = Samba server's CD-ROM ; read only = yes ; locking = no ; path = /cdrom ; guest ok = yes # 下面两个参数表示当访问cdrom共享时怎样自动挂载CD-ROM。要让它能工作，必须在/etc/fstab中包含 # 类似于下面的条目： # /dev/scd0 /cdrom iso9660 defaults,noauto,ro,user 0 0 # 在连接后，CD-ROM可以自动解挂。如果你不想使用自动挂载/解挂功能，那就要把CD挂载到/cdrom下 ; preexec = /bin/mount /cdrom ; postexec = /bin/umount /cdrom

    我们用得最频繁的是共享目录的设置选项，其含义如下：
    [共享名]：在客户端显示的共享名
    comment=任意字符串：是对该共享的描述，可以是任意字符串，不过最好把访问的用户名和密码写入。
    path=共享目录路径：用来指定共享目录的路径。可以用%u、%m这样的宏来代替路径里的unix用户和客户机的Netbios名，用宏表示主要用于[homes]共享域。例如,如果我们不打算用home段做为客户的共享，而是在/home/share/下为每个Linux用户以他的用户名建个目录，作为他的共享目录，这样path就可以写成path = /home/share/%u。用户在连接到这共享时具体的路径会被他的用户名代替，要注意这个用户名路径一定要存在，否则，客户机在访问时会找不到网络路径。同样，如果我们不是以用户来划分目录，而是以客户机来划分目录，为网络上每台可以访问samba的机器都各自建个以它的netbios名的路径，作为不同机器的共享资源，就可以这样写path = /home/share/%m。
    browseable=yes/no：用来指定该共享是否可以浏览。
    writable=yes/no：用来指定该共享路径是否可写。
    available=yes/no：用来指定该共享资源是否可用。
    admin user=该共享的管理者：用来指定该共享的管理员（对该共享具有完全控制权限）。在samba 3.0中，如果用户验证方式设置成“security=share”时，此项无效。例如"admin users=bobyuan，jane"（多个用户中间用逗号隔开）。
    valid users=允许访问该共享的用户：用来指定允许访问该共享资源的用户。例如"valid users = bobyuan，@bob，@tech"（多个用户或者组中间用逗号隔开，如果要加入一个组就用“@+组名”表示。）   
    invalid users = 禁止访问该共享的用户：用来指定不允许访问该共享资源的用户。例如"invalid users=root，@bob"（多个用户或者组中间用逗号隔开。）
    write list=允许写入该共享的用户：用来指定可以在该共享下写入文件的用户。例如"write list=bobyuan，@bob"。
    public=yes/no：用来指定该共享是否允许guest账户访问。
    guest ok=yes/no：意义同"public"。
    read only=yes：共享目录是否只读。
    create mask=0700：文件创建掩码。
    directory mask=0700：目录创建掩码。
    3、Samba配置实例：
    （1）创建共享目录：我们在自己主目录下创建一个共享目录Share，它只允许new用户访问。创建共享目录的命令如下：

cd ~ mkdir share chmod 777 share

    注意在Ubuntu系统中创建共享目录时要使用777，让所有用户可读可写可运行。当把这个共享设置添加到smb.conf中时，我们把文件创建掩码和目录掩码设置为0755，由于掩码的作用，这样new用户对这个共享目录有读写执行权限，其他用户只有读和执行权限。修改配置文件smb.conf（修改之前先作一下备份），把下面的共享设置加入到smb.conf的末尾：

[share] comment = Shared Folder with username:new, password:... path = /home/zhouhuansheng/Share public = yes writable = yes valid users = new create mask = 0755 directory mask = 0755 available = yes browseable = yes

    （2）创建登录用户并添加到Samba的密码数据库中：创建new这个账号，以便远程用户能通过它来访问共享。

sudo useradd new

    要注意，上面这个new是Linux账号，我们没有给它设置本机登录密码，因此它不能从本机登录，只能从远程访问。由于客户端要用这个账号来登录Samba服务器，因此我们还要把这个账号添加到Samba服务器的smbpasswd文件中（因为登录到Samba服务器也就必须要登录到Linux系统，因此必须先在/etc/passwd中有这个账号，然后我们再把它添加到smbpasswd文件中去），并为它设置一个登录的SMB密码，注意samba的登录密码可以和本机登录密码不一样。

sudo smbpasswd -a new # 接下来输入两次SMB密码即可

    以后要修改new用户的SMB密码时也用这个命令，从smbpasswd文件中移除这个账号则用命令"smbpasswd -x new"。创建了用户后，要建立用户映射文件，并且security安全级别要设置为user，这表示登录Samba服务器必须要有一个账号。修改smb.conf中的security选项，并在下面添加username map选项：

security = user username map = /etc/samba/smbusers

    用户映射文件smbusers用来包含所有的Samba用户名，在其中添加一行内容：new = "network username"，表示new这个账号是网络上的远程用户。    
    （3）修改显示字符集以防止出现乱码：由于Ubuntu系统中通常使用UTF-8编码，而Windows主机中一般使用GBK编码，为防止在Windows中显示为乱码，找到[global]，改一下workgroup选项的值，并在下面加一些字符集选项：

workgroup = WORKGROUP display charset = UTF-8 unix charset = UTF-8 dos charset = cp936

    这里因为大部分Windows主机的默认工作组名为WORKGROUP，因此我们改成这个值，你必须确保你的Windows主机的工作组名与smb.conf中的配置一致。注意如果你的Ubuntu中的字符集为zh_CN.GB2312或zh_CN.GBK，则display charset和unix charset都要设置为cp936（即简体中文）。设置完毕后，需要注销一次。才可以看到中文的目录。
    （4）当所有设置均完成后，运行一下testparm，检查一下配置是否有语法错误，然后重启Samba服务。
    4、访问共享目录：
    （1）Windows访问Linux中的共享：这个比较简单，像正常的Windows主机之间的共享访问一样。在“网上邻居”里查看工作组，里面会显示Ubuntu主机，点击可看到相应的共享。也可以在资源管理器的地址栏中输入：//Ubuntu的IP，就会列出相应的共享。双击共享，然后输入用户名new和相应的SMB密码，即可进入共享目录。由于我们配置为可写，因此你还可以往共享目录里写东西。注意如果Window中可以看到共享目录，但是就是打不开，原因就在于权限问题。假设你在自己Ubuntu系统下右击一个文件夹，点共享，然后创建共享文件，你还必须把它设置为可读可写可运行，这样在Windows中才能访问它。
    （2）Linux访问Windows中的共享：
    第一种方法：用smb访问。直接点击系统菜单中的"位置->网络"，里面有个“Windows Network"，点进去，再找你要找的电脑和文件，届时可能需要被访问的那个计算机的帐号和密码。这种方法的成功率不高。
    第二种方法：用ubuntu系统自带的连接到服务器功能来访问。点击"位置->连接到服务器"，在服务类型中选择“windows share”，在"Server"中输入windows计算机的ip地址或计算机名、"Folder"中输入共享文化夹名、"User Name"中输入Windows的账号、"Domain Name"中输入Windows的工作组名，点击连接，然后输入账号的密码，这样在Ubuntu系统桌面上就会显示这个共享的文件夹。这个方法的成功率比较高。接下来的两种方法是最基本的方法。
    第三种方法：用mount或smbmount把远地的共享目录挂载到本地。

cd /mnt sudo mkdir wind sudo mount -t smbfs -o iocharset=utf8,username=new,password=new //192.168.0.180/my_pictures /mnt/wind

    先建立一个挂载点，然后用Samba的new用户及其密码来挂载远程Windows中的共享目录。由于本地Ubuntu使用utf8，为防止显示乱码，指定传输的字符集为utf8。这样共享目录my_pictures就被挂载到/mnt/wind下了。也可用smbmount命令，它其实就是加了参数的mount（注意回车后可能还会要你输入一遍密码）。

sudo smbmount //192.168.0.180/my_pictures wind -o iocharset=utf8 user=new pass=new

    第四种方法：用smbclient工具来连接到共享目录，这是一个类似于ftp的工具。

smbclient //192.168.0.180/my_pictures -U new password:new

    然后就可以用smbclient命令来操作共享目录，主要的命令有：
命令                            说明
?或help [command]            提供关于帮助或某个命令的帮助
![shell command]            执行所用的SHELL命令，或让用户进入SHELL提示符
cd [目录]                    切换到服务器端的指定目录，如未指定，则smbclient返回当前本地目录
lcd [目录]                    切换到客户端指定的目录
dir 或ls                      列出当前目录下的文件
exit 或quit                     退出smbclient   
get file1  file2              从服务器上下载file1，并以文件名file2存在本地机上的主目录下；如不想改名可把file2省略
mget file1 file2  filen     从服务器上下载多个文件
md或mkdir 目录                在服务器上创建目录
rd或rmdir    目录                删除服务器上的目录
put file1 [file2]            向服务器上传一个文件file1,传到服务器上改名为file2
mput file1 file2 filen      向服务器上传多个文件
  
    附：
    （1）security选项一共有四种安全级别：
    share：用户访问Samba Server不需要提供用户名和口令, 安全性能较低。
    user：Samba Server共享目录只能被授权的用户访问,由Samba Server负责检查账号和密码的正确性。账号和密码要在本Samba Server中建立。
    server：依靠其他Windows NT/2000或Samba Server来验证用户的账号和密码,是一种代理验证。此种安全模式下,系统管理员可以把所有的Windows用户和口令集中到一个NT系统上,使用 Windows NT进行Samba认证, 远程服务器可以自动认证全部用户和口令,如果认证失败,Samba将使用用户级安全模式作为替代的方式。
    domain：域安全级别,使用主域控制器(PDC)来完成认证。
    （2）smb.conf中其他的一些常用选项：
    hosts allow=127. 192.168.1. 192.168.10.1：表示允许连接到Samba Server的客户端，多个参数以空格隔开。可以用一个IP表示，也可以用一个网段表示。hosts deny与hosts allow刚好相反。
    max connection=0：用来指定连接Samba Server的最大连接数目。如果超出连接数目，则新的连接请求将被拒绝。0表示不限制。
    deadtime=0：用来设置断掉一个没有打开任何文件的连接的时间。单位是分钟，0代表Samba Server不自动切断任何连接。
    time server=yes/no：用来设置让nmdb成为windows客户端的时间服务器。