Samba在企业中的简单应用案例

文章由LinuxBoy分享于2019-03-26 10:03:47热评（617）

Samba在企业中的简单应用案例

51CTO独家特稿】Samba服务器虽然很多企业都在用，但Samba其实可以说的东西很多，也有很多用法。之前我们介绍了Samba的实用技巧与三种权限的机制，下面会介绍一个Samba的企业应用案例。

作者简介：余洪春博客），网名抚琴煮酒，英文名Andrew.Yu，武汉某外企高级Linux/Unix系统管理员、项目实施工程师，红帽RHCE讲师，擅长负载均衡高可用和中小型证券类和商务网站架构，目前关注网站架构研究及网络安全。

本文介绍的Samba应用案例在很多公司需要，只要根据具体情况修改配置文件就可以了。其实原理也很简单，就是用户的读与写权限要分开。

案例要求与分析

需求1

所有与员工都能在公司内漫游办公，但不管在那台电脑上工作，都要把自己的文件数据库存在Samba文件服务器上。

分析：

需要Samba作为文件服务器，为所有的用户创建帐号和目录

需求2

为所有的用户创建帐号和目录，不分配shell

假设市场部有tom、jack，他们属于sales组

技术部有red、blue，他们属于tech组

总经理是ceo、财务是fineance，他们均属于lead组

分析：

建组sales，tech及leader组

所有市场部的员工加入sales组

技术部的员工加入tech组

ceo和fineance加入leader组

需求3

sales组的文件只有tom和leader组的人可以读写，其它人只能看(非认证用户是不能进入目录的)；tech组的文件只有red和leader组的人可以读写，其它人只能看(非认证用户是不能进入目录的)；

分析：

通过samba权限控制来做。

实施步骤

首先是安装samba34。

#cd /usr/ports/net/samba34
#make install clean
#cp /usr/local/share/examples/samba34/smb.conf.default /usr/local/etc/smb.conf
#echo 'nmbd_enable="YES"' >> /etc/rc.conf
#echo 'smbd_enable="YES"' >> /etc/rc.conf
#记得用>>追加符，不然你的rc.conf文件会被清零的:)

启动samba

#/usr/local/etc/rc.d/samba start

先建立组和用户。把用户加入相应的组，给用户分配一个不可用的shell；由于组比较多，我建议在纸上画好组织结构图，这样也方便自己理解。

添加用户组

# pw groupadd sales
# pw groupadd tech
# pw groupadd leader

然后用pw groupshow分别得知sales、tech及leader的GID分别为1005、1006和1007

添加用户

# pw useradd tom -s /sbin/nologin -g 1005
# pw useradd jack  -s /sbin/nologin -g 1005
# pw useradd red -s /sbin/nologin -g 1006
# pw useradd blue -s /sbin/nologin -g 1006
# pw useradd ceo -s /sbin/nologin -g 1007
# pw useradd fineance -s /sbin/nologin -g 1007

将其分别添加进samba用户库，此处的samba密码尽量选择不一样，并注意密码的复杂性。

# smbpasswd -a jack
New SMB password:
Retype new SMB password:
Added user jack.
# smbpasswd -a red
New SMB password:
Retype new SMB password:
Added user red.
# smbpasswd -a blue
New SMB password:
Retype new SMB password:
Added user blue.
# smbpasswd -a ceo
New SMB password:
Retype new SMB password:
Added user ceo.
# smbpasswd -a fineance
New SMB password:
Retype new SMB password:
Mismatch - password unchanged.
Unable to get new password.
research_jail# smbpasswd -a fineance

建立samba的文件目录，并分配权限。

# mkdir /home/sales
# mkdir /home/tech
# ls -ld /home/sales
drwxr-xr-x  2 root  wheel  512 Jan 25 05:36 /home/sales
# ls -ld /home/tech
drwxr-xr-x  2 root  wheel  512 Jan 25 05:36 /home/tech
#给予sales和tech目录777权限的目的，是为了防止它们被本身的权限控制，用户能访问目录的最终权限是被文件目录的权限和samba权限的最小权限交集所控制
# chmod 777 /home/sales
# chmod 777 /home/tech

给这个二个目录建议sgid权限，将能建立的文件都划归其组所有

# chgrp sales /home/sales
# chgrp tech /home/tech
# chmod g+s /home/sales
# chmod g+s /home/tech
[root@localhost samba]# ls -ld /home/sales /home/tech
# ls -ld /home/sales /home/tech
drwxrws---  2 root  sales  512 Jan 25 05:36 /home/sales
drwxrws---  2 root  tech   512 Jan 25 05:36 /home/tech

用samba的权限来严格限制这二个目录的权限

修改配置文件vim /etc/samba/smb.conf,在文件的最后加入目录

[sales]
path = /home/sales
public = no
valid users = @sales,@leader
write list = tom,@leader
create mask = 0770
directory mask = 0770
[tech]
path = /home/tech
public = no
valid users = @tech,@leader
write list = red,@leader
create mask = 0770
directory mask = 0770

重启服务器

#/usr/local/etc/rc.d/samba start

总结

测试时我为了避免windows的NETBIOS的bug问题，直接开了三台windows机器，外加N台虚拟机，省得不停的net use /delete，免得闹心；测试结果还是比较成功的，其实这里主要也只牵涉到三个知识点，我这里归纳下：

一、用户的最终权限分配为目录的权限和samba权限的最小交集；

二、valid为认证用户，没经过认证的用户是不能看到其目录的文件的；

三、write list会覆盖用户原有的用户权限，即使他们原先只有读的权限。

希望这个案例对你有帮助！

51CTO.com独家特稿，转载请注明原文作者和出处。】

推荐文章：

Samba在企业中的简单应用案例