Samba:打造企业级授权文件共享服务器
写在前面的话
先来说说故事背景:公司内部文件服务器的解决方案其实很多,对于中小型互联网公司,大多的在这一块的选型还是 FTP,或者 VSFTP,但是个人实在是对那个东西喜欢不起来,于是就选择了配置相对于简单一些的 Samba,燃鹅,在使用过程中却被各种需求搞得心力交瘁。于是便决定写这么个东西,一个能够满足大部分公司的需求的东西。
文章标题企业级,一是源于本身是企业使用,所以企业级没毛病。二是会夹杂复杂的授权,所以还是没毛病。
总之就是咱先把牛逼吹了,实不实现的了再说,
需求说明
假如存在一个 XXX 互联网公司,它的简单组织架构如下图:
现在它对于文件服务器的需求如下图:
说明:
1. 账号分为三类:管理员 / 普通 / 只读,注意,我们创建用户不能有下划线,中横线,否则 Windows 中有 BUG
2. 部门目录权限如下:
见权限:代表可以见到别人的目录,但是不能打开。
读权限:能够进去目录查看文件,但是不能修改。
写自己:自己上传的文件可以修改删除。
写别人:别人上传的文件都能修改删除。
3. 公共目录权限:
所有用户对于公共文件中所有文件都可见且能够读取。
用户能够除了只读账户对自己部门的目录都能够写文件。
各个部门管理员账户能够对自己部门所有文件进行任何操作。
最后就是 zcadmin 用户其实就是老板,想干啥干啥,当然 zc 也有很高的权限,可以到处写。
第一阶段:基础部门目录权限分配
理了下目录关系和用户关系,我们可以先着手把用户和目录设计好:
注意,我这里使用的是 CentOS 7.5,总的来说 CentOS 系列使用方法应该都差不多,区别可能就是启动命令。
1. 安装 Samba:
yum -y install samba samba-client samba-swat
2. 创建目录:
mkdir /company
cd /company/
mkdir 总裁办文件 研发部文件 人事行政部文件 财务部文件 公共文件
cd 公共文件/
mkdir 财务部共享 研发部共享 人事行政部共享 总裁办共享
查看目录结构:
tree -N /company/
结构如图:
3. 添加用户
# 添加组
groupadd zcgroup
groupadd devgroup
groupadd hrgroup
groupadd fdgroup # 添加用户
useradd -g zcgroup -s /sbin/nologin zc
useradd -g zcgroup -s /sbin/nologin zcread
useradd -g zcgroup -s /sbin/nologin zcadmin useradd -g devgroup -s /sbin/nologin dev
useradd -g devgroup -s /sbin/nologin devread
useradd -g devgroup -s /sbin/nologin devadmin useradd -g hrgroup -s /sbin/nologin hr
useradd -g hrgroup -s /sbin/nologin hrread
useradd -g hrgroup -s /sbin/nologin hradmin useradd -g fdgroup -s /sbin/nologin fd
useradd -g fdgroup -s /sbin/nologin fdread
useradd -g fdgroup -s /sbin/nologin fdadmin
4. 修改目录权限:
cd /company/ # 修改目录权限
chmod -R 1775 总裁办文件 研发部文件 人事行政部文件 财务部文件 公共文件 # 修改所有者所属组
chown -R devadmin.devgroup 研发部文件
chown -R hradmin.hrgroup 人事行政部文件
chown -R fdadmin.fdgroup 财务部文件
chown -R zcadmin.zcgroup 总裁办文件
5. 修改主配置文件:/etc/samba/smb.conf
##############################################################################
# 全局配置
##############################################################################
[global]
workgroup = WORKGROUP
server string = Samba Server Version %v
netbios name = Samba
log file = /var/log/samba/samba_log.%m
max log size = 50
security = user
passdb backend = tdbsam
include = /etc/samba/user/%U.smb.conf
注意:红色部分配置说明我们每个用户登录以后其实是单独的配置文件,配置文件为 /etc/samba/user/用户名.smb.conf
6. 添加用户单独配置文件:
mkdir /etc/samba/user
cd /etc/samba/user
我们这里以研发部为例,普通用户 dev 的配置文件:dev.smb.conf
[研发部文件]
comment = dev config
path = /company/研发部文件/
public = no
admin users = devadmin
valid users = @devgroup
writable = yes
create mask = 1777
directory mask = 1777
force create mode = 1777
force directory mode = 1777
管理员用户 devadmin 的配置文件:devread.smb.conf
[研发部文件]
comment = dev admin config
path = /company/研发部文件/
public = no
admin users = devadmin
valid users = @devgroup
writable = yes
create mask = 1777
directory mask = 1777
force create mode = 1777
force directory mode = 1777
只读用户 devread 的配置文件:devadmin.smb.conf
[研发部文件]
comment = dev read config
path = /company/研发部文件/
public = no
admin users = devadmin
valid users = @devgroup
writable = no
简单做个说明:
a. 掩码设为 1777,目的是让所有有权用户都可随意进出所属部门下面全部目录(最后一个 7 是为 zc 这种用户准备的)。
b. 创建目录的人具有该目录以及该目录下文件的绝对控制权。这意味着假设 dev 用户创建一个 dev 目录,devadmin 去 dev 目录下新建一个 test 文件,由于 dev 用户具有 dev 目录的绝对控制权,所有他是能够修改删除该文件的。但是如果这个文件不在 dev 下面 dev 用户就至于查看权限。
这种情形是不可避免的,在 Samba 中我们应该注重文件夹的使用。最好是基础文件夹由 admin 账户建立。
c. 配置在 admin users 中的管理员账户拥有最高权限,该共享下任何文件都能修改删除。
d. writable = no,直接只读,不需要再分配其它权限。
e. 最后说说为啥要即使同样的配置也分为单独的文件,目的是为了分开管理,这样我们想调整哪个用户改哪个文件即可。
最终配置如图:
7. 将系统用户添加到 Samba 中:
smbpasswd -a dev
smbpasswd -a devadmin
smbpasswd -a devread
smbpasswd -a hr
smbpasswd -a hradmin
smbpasswd -a hrread
smbpasswd -a fd
smbpasswd -a fdadmin
smbpasswd -a fdread
smbpasswd -a zc
smbpasswd -a zcadmin
smbpasswd -a zcread
查看用户:
pdbedit -L
如果想删除某个用户,则只需:
pdbedit -x 用户名
8. 至此,我们完成了第一个阶段,就是每个目录拥有了三个角色,普通 / 管理员 / 只读。
第二阶段:总裁办用户其它权限
我们根据权限表知道,总裁办出来只读账户,其它账户是具备其他目录的读写权限的。
这意味着,zcadmin 得具备其它目录 admin 的权限,而 zc 用户得具备其它目录的普通权限。
1. 将用户加入各个目录的组:
usermod -a -G devgroup zc
usermod -a -G devgroup zcadmin
usermod -a -G hrgroup zc
usermod -a -G hrgroup zcadmin
usermod -a -G fdgroup zc
usermod -a -G fdgroup zcadmin
2. 修改 zc.smb.conf 和 zcadmin.smb.conf
[总裁办文件]
comment = zc config
path = /company/总裁办文件/
public = no
admin users = zcadmin
valid users = @zcgroup
writable = yes
create mask = 1777
directory mask = 1777
force create mode = 1777
force directory mode = 1777 [研发部文件]
comment = zc config
path = /company/研发部文件/
public = no
admin users = devadmin,zcadmin
valid users = @devgroup
writable = yes
create mask = 1777
directory mask = 1777
force create mode = 1777
force directory mode = 1777 [人事行政部文件]
comment = hr config
path = /company/人事行政部文件/
public = no
admin users = hradmin,zcadmin
valid users = @hrgroup
writable = yes
create mask = 1777
directory mask = 1777
force create mode = 1777
force directory mode = 1777 [财务部文件]
comment = fd config
path = /company/财务部文件/
public = no
admin users = fdadmin,zcadmin
valid users = @fdgroup
writable = yes
create mask = 1777
directory mask = 1777
force create mode = 1777
force directory mode = 1777
到这一步的时候我做了如下测试:
a. devadmin 用户登录,在 研发部文件 中创建 admin 目录和 admin 文件。
b. 切换到 dev 用户,尝试删除 admin 目录和 admin 文件,均提示权限不足,进入 admin 目录创建 dev 文件,在外层创建 dev 目录和 dev 文件。
c. 切换 zc 用户, 尝试删除 研发部文件 中任意文件,均提示无权限,去 admin 目录创建 zc 文件,在外层创建 zc 目录和 zc 文件。
d. 切换 devadmin 和 zcadmin 进去 研发部文件 中删除任意文件均可。
此时就实现了普通用户只能删除自己的文件,管理员可以管理所有。
第三阶段:公共文件
这其实是最麻烦的需求,其实通常对于这种目录我们最好的出路方式就是除了管理员,各自能够删除修改各自的就行。
但是总有例外,有时需求来了挡都挡不住,所以这里给出最复杂的设计。
1. 修改目录权限:
cd /company/公共文件 chown -R devadmin.devgroup 研发部共享
chown -R hradmin.hrgroup 人事行政部共享
chown -R fdadmin.fdgroup 财务部共享
chown -R zcadmin.zcgroup 总裁办共享
值得注意的是,此时 公共文件 这个目录的用户和组依然是 root,我们不会去修改它。
2. 修改主配置文件,添加公共配置:smb.conf
##############################################################################
# 全局配置
##############################################################################
[global]
workgroup = WORKGROUP
server string = Samba Server Version %v
netbios name = Samba
log file = /var/log/samba/samba_log.%m
max log size = 500
security = user
passdb backend = tdbsam
include = /etc/samba/common.cmb.conf
include = /etc/samba/user/%U.smb.conf
在我们导入单个用户配置之前,我先导入这个公共配置,该配置意味着所有用户都具有。如果后面的用户不要或者权限不对,我们都可以在单独的用户配置的文件里面复写它。
值得注意的是,导入顺序很重要,这意味着谁复写谁。
3. 增加 common 配置:/etc/samba/common.cmb.conf
[公共文件]
comment = common config
path = /company/公共文件/
public = no
admin users = zcadmin
valid users = @zcgroup,@devgroup,@hrgroup,@fdgroup
writable = yes
create mask = 1777
directory mask = 1777
force create mode = 1777
force directory mode = 1777
我们默认给写权限,所以用户都可以在自己部门的目录下修改删除自己的文件。
当然,zcadmin 这个是全部的管理员,所以我们这里直接就给他指定了。
4. 只读用户复写权限,如:devread.smb.conf
[研发部文件]
comment = dev read config
path = /company/研发部文件/
public = no
admin users = devadmin
valid users = @devgroup
writable = no [公共文件]
comment = common config
path = /company/公共文件/
public = no
valid users = @zcgroup,@devgroup,@hrgroup,@fdgroup
writable = no
直接复写为只读权限!
5. 普通用户的权限本身就和默认的权限一致,所以我们不需要再度去修改。
6. 管理员用户相比比较复杂,如果授权整个目录就会导致所有目录都能管理。
所以我这里给出的方法是除了共享文件作为管理员账户的一个项目外,另外里面对于的部门也作为单独项目授权。
但是为了不显示两个这样的目录,我们将单独授权的目录隐藏。
当然这里需要排除 zcadmin,因为前面已经指定了,他就是全部的管理员,我们修改另外三个管理员配置。
这里以 devadmin 为例:devadmin.smb.conf
[研发部文件]
comment = dev admin config
path = /company/研发部文件/
public = no
admin users = devadmin
valid users = @devgroup
writable = yes
create mask = 1777
directory mask = 1777
force create mode = 1777
force directory mode = 1777 [公共文件-研发部共享]
comment = common config
path = /company/公共文件/研发部共享/
public = no
admin users = zcadmin,devadmin
valid users = @zcgroup,@devgroup,@hrgroup,@fdgroup
writable = yes
create mask = 1777
directory mask = 1777
force create mode = 1777
force directory mode = 1777
browseable = no
最终达到的效果:
a. 部门普通用户打开公共文件,能够访问所有文件夹。能够在自己部门的目录修改删除自己的文件。
b. 部门管理员能够在公共文件自己的部门目录下任意删改。对于其它部门目录只读。
c. zc 用户能够在公共文件下所有目录增删改自己的文件。
d. 只读账户在公共文件下全局只读。
7. 至此,所有需求全部完成。
小结
这篇文章写了我差不多两天,其中各种测试,windows 测试还非常麻烦。但是总的来说能够满足大部分需求。
当然,Samba 目前来说有个很大的问题,我依然没有找到一款能够像连接 FTP 一样的客户端来连接 Samba,如果知道的朋友可以分享一下。
关于其它 Samba 的一些知识如果不知道可以去简单了解一些,本文还是针对直接有需要的朋友。
最后,如果你觉得还可以,给个推荐也是可以的。
Samba:打造企业级授权文件共享服务器的更多相关文章
- 用Centos7搭建小微企业Samba文件共享服务器【转】
转自 用Centos7搭建小微企业Samba文件共享服务器 - 今日头条(www.toutiao.com)http://www.toutiao.com/i6436937837660078593/ 最近 ...
- Ubuntu配置Samba文件共享服务器
Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成.SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通 ...
- 《Linux就该这么学》培训笔记_ch12_使用Samba或NFS实现文件共享
<Linux就该这么学>培训笔记_ch12_使用Samba或NFS实现文件共享 文章最后会post上书本的笔记照片. 文章主要内容: SAMBA文件共享服务 配置共享资源 Windows挂 ...
- 文件共享服务器share
文件共享服务器:(类似于FTP服务器) 1.创建共享:文件夹右键属性--共享--开启共享--设置共享名--设置共享权限(建议设置为everyone完全控制,然后具体的权限需求在ntfs权限中设置即可) ...
- 动手打造轻量web服务器(二)路由
tomcat启动慢?自己动手打造轻量web服务器(一) 上篇讲了怎么做一个最简单的web服务器,这篇就是在上篇加上URL路由功能(什么是路由?) 首先,根据http获得请求行 val scanner ...
- HTTP 文件共享服务器工具 - chfs
CuteHttpFileServer/chfs是一个免费的.HTTP协议的文件共享服务器,使用浏览器可以快速访问.它具有以下特点: 单个文件,整个软件只有一个可执行程序,无配置文件等其他文件 跨平台运 ...
- 文件共享服务器nfs搭建过程
网络文件共享服务器192. yum install -y nfs-utils 在exports文件中添加的从机范围 vim /etc/exports /home/nfs/ (rw,sync,fsid= ...
- Spring Boot_打造企业级微信点餐系统_汇总贴
2019更新版 Spring Boot双版本(1.5/2.1) 打造企业级微信点餐系统 H:\BaiDu\微服务0830\2019微服务时代Spring Boot双版本(1.5-2.1) 打造企业级 ...
- 基于Nettty打造自己的MVC服务器
最近开始折腾Netty,体验下NIO编程.既然学习了,就要做点东西出来,要不然不容易掌握学到的东西.在Netty的官方demo上都有各种case的sample,打造Http服务器的核心代码就是从Sam ...
随机推荐
- WebGL场景的两种地面构造方法
总述:大部分3D编程都涉及到地面元素,在场景中我们使用地面作为其他物体的承载基础,同时也用地面限制场景使用者的移动范围,还可以在通过设置地块的属性为场景的不同位置设置对应的计算规则.本文在WebGL平 ...
- Spring Boot:使用Memcached缓存
综合概述 Memcached是一个自由开源的,高性能,分布式内存对象缓存系统.Memcached基于内存的key-value存储,用来存储小块的任意数据,这些数据可以是数据库调用.API调用或者是页面 ...
- 【转载】JDK自带的log工具
版权声明:本文为Jaiky_杰哥原创,转载请注明出处.This blog is written by Jaiky, reproduced please indicate. https://blog.c ...
- html更改弹窗样式(原创,转载需声明)
代码如下: <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <tit ...
- scrapy基础知识之 使用FormRequest.from_response()方法模拟用户登录:
通常网站通过 实现对某些表单字段(如数据或是登录界面中的认证令牌等)的预填充 使用Scrapy抓取网页时,如果想要预填充或重写像用户名.用户密码这些表单字段, 可以使用 FormRequest.fro ...
- 你必须知道的Docker镜像仓库的搭建
近期工作中发现用到的容器镜像越来越多(不多的时候没考虑过镜像仓库的问题),同一个容器镜像也存在多个版本,那么镜像仓库的搭建需求就涌现出来,本文就目前的几个常用镜像仓库的搭建进行介绍,我们可以根据需要选 ...
- 9.秋招复习简单整理之Spring面试AOP和IOC的理解
1.Spring的AOP理解: OOP面向对象,允许开发者定义纵向的关系,但不适用于定义横向的关系,导致了大量代码的重复,而不利于各个模块的重用. AOP,一般称为面向切面,作为面向对象的一种补充,用 ...
- fastdfs java client error
tracker,storage运行正常,利用fdfs_test程序做测试,可以正常上传下载文件. tracker的端口配置 # HTTP port on this tracker server htt ...
- JavaScript控制语句结构、函数部分
HTML页面代码: <html> <head> <meta charset="UTF-8"> <title>HelloWorld&l ...
- ASP.NET Core系列(二):创建第一个.Net Core 项目
前面讲过 .NET Core简介及开发环境安装,本章会讲一讲ASP.NET Core 2.0的项目结构,查看完整的ASP.NET Core系列文章:https://www.cnblogs.com/zh ...