samba服务的高级进阶配置

本文将学习一下几个方面的内容，将会结合具体的实验来一步步实现。

1、 用户账号的映射

2、 使用IP对客户端进行访问控制

3、 使用域名对客户端进行访问控制

4、 使用通配符对客户端进行访问控制

5、 设置samba的权限

6、 设置samba的隐藏共享

7、 Samba客户端的配置

8、 Samba的排错

Samba服务器的常规配置很容易就可以实现，但是并不能够满足企业的实际需求，所以需要做更加详细的配置。

（一）、用户账号的映射

因为samba服务器的账号必须对应一个同名的系统账号，所以就造成了这样的安全缺陷：只要知道samba服务器的samba账号，就等于知道了服务器的系统账号，只要破解其密码，从而加以利用，就可以来攻击samba服务器。

对于这个问题可以用账号的映射功能来加以解决。

方式：建立一个账号映射关系表，里面记录着samba账号和虚拟账号的对应关系，客户端访问时使用虚拟账号登录。这样告诉客户端用户的samba账号就不是和系统账号相对应的那个账号，而又可以访问samba服务器。

下面是具体实现的步骤

1、 开启用户账号映射功能，在全局设置中添加一行

2、 编辑smbusers，smbusers保存账号映射关系，添加一行用户的账号映射关系

把sale1映射为sky apple

3、重启samba服务

4、验证，在windows客户端用sky 或者apple登录

见下图，登录成功

备注：建议不要把本地系统用户的密码和samba用户的密码设置成为一样。

（二）、使用IP对客户端进行访问控制

需要用到host allow和host deny字段

Host allow定义可以访问的客户端

Host deny 定义禁止访问的客户端

案例：公司内部samba服务器上共享了一个目录sales，该目录文件为销售部的共享目录，公司规定192.168.0.0/16这个网段的IP地址都不能访问该目录，但是192.168.1.1/24这个地址可以访问，对于该需求，我们可做如下配置

编辑samba的主配置文件vi /etc/samba/smb.conf

首先把安全级别改为share模式

在sales共享目录下添加hosts字段，如图

Hosts deny = 192.168.0.0表示拒绝所有来自该网段的IP地址的访问

Hosts allow = 192.168.1.1表示允许该IP地址访问

注意：当hosts deny 和hosts allow字段同时出现的时候，hosts allow优先。

我们在客户端验证一下，用192.168.1.100访问，错误信息如下

这样就达到了IP限制客户端访问的目的

（三）、使用域名对客户端进行限制

示例：公司samba服务器上共享了一个目录public，公司规定.sale.com域和.net域的客户端不能访问，同时，主机名为free的客户端也不能访问

分析：这个案例很明显不适合用IP限制来做，因为一个域中可能会有很多台客户端，所以可以使用域名限制，如图：

注意：域名和域名之间或域名和主机名之间要用“空格”符号隔开

（四）、使用通配符进行访问控制

示例：samba服务器共享了一个目录sales，规定所有人不允许访问，只有主机名为cli-3e723d915cf.的客户端可以访问

把安全级别改回user

将上面设置的主机名加入到samba服务器的本地hosts文件中，让samba可以解析该地址

别忘了重启samba服务

然后到客户端验证一下吧，我们先用boss帐户，可以正常访问

看到上面的共享文件界面后，下面是sales文件夹的内容，访问成功

备注：常用的通配符还有：“*”、“？”、“LOCAL”等

案例：规定所以人不能访问sales目录，只允许192.168.1.0网段的IP地址访问，但是192.168.1.100除外

下面我们看看具体的实现步骤

修改配置文件，使用EXCEPT进行设置

用192.168.1.100客户端验证一下

最后说一下hosts deny 和hosts allow的作用范围

它们的作用范围是不同的，设置在[global]里表示对samba服务器生效，如果设置在目录下，则表示对单一的目录生效

如图：表示只有客户端192.168.1.100能访问samba服务器

如图：表示只有客户端192.168.1.100可以访问public目录

（五）、设置samba的权限

案例：公司samba服务器上有个共享目录sales，公司规定只有boss账号和sales组的账号可以完全控制，其他人只有读取的权限

分析：前面我们学习的writable字段已经不能够满足要求了，因为：当writable = yes时，表示所有人都可以写入，当writable = no时则表死所有人都不可以写入，这时候就要用到write list字段了

实现的步骤如下（省略的步骤可参照前一篇文章）：

1、 建立sales组，在组中建立两个账号sale1和sale2，建立账号boss，

2、 将账号映射到smbpasswd账号，使用smbpasswd –a 账号名

3、 编辑smb配置文件

4、 重载smb服务service smb reload

5、 在客户端验证一下（省略）

（六）、samba的隐藏共享的设置

处于安全的考虑，该功能往往用在较为私密的目录，或是比较重要的目录上。从而保证只有管理员或者一些重要人员才知道samba服务器上有这个目录，而其他的员工则不知道。

Browseable字段可以实现该功能

下面通过一个案例来说明

案例：samba服务器有一个共享目录sales，只有boss用户可以浏览并访问该目录，其他人都不可以浏览和访问该目录

分析：通过为boss单独建立一个配置文件，并且让boss访问的时候能够读取这个单独的配置文件即可。

具体实现的步骤如下：

为boss建立独立的配置文件

编辑smb.conf主配置文件，添加一行

在主配置文件中设置隐藏该目录browseable = no

编辑独立配置文件

在boss的独立配置文件中删除browseable = no

重新启动一下samba服务

在客户端验证一下

用boss访问，可以看到sales目录

用其他用户访问则看不到该目录，比如用sale1登录，如下，没有sales目录

（七）、samba客户端的配置

linux客户端访问samba共享有两种方式

1、 使用smbclient命令

首先确保客户端已经安装了samba-client软件包

查看目标主机共享目录列表的方式：

smbclient –L 目标IP地址或主机名 –U 登录用户名%密码

下面是匿名登录的情况，不用输入密码，直接回车即可，匿名登录看不到sales共享目录，因为这是一个隐藏的共享目录，只有boss帐户可以访问

备注：不同用户使用smbclient浏览的结果可能不同，根据服务器设置而定，比如权限的设置

2、 smbclient支持命令行的共享访问方式

格式：smbclient //目标IP地址或主机名/共享目录名 –U 用户名%密码

例：用sale1访问public目录

成功登录后，支持命令可以用help得到

3、 使用mount命令在客户端挂载共享目录

格式：mount –t cifs //目标IP地址或主机名/共享目录名 挂载点 –o username=用户名

实例：使用sale2账号挂载IP地址为192.168.1.1的samba服务器的共享目录public到客户机的/mnt

备注：cifs表示samba所使用的文件系统

（八）、samba的排错思路

1、看错误信息

2、看配置文件，使用配置文件检查工具

3、看日志文件的记录，切换到另一个终端对日志文件进行监控

使用：tail –F /var/log/messages

4、 使用testparm命令检测

5、 使用smbclient命令进行测试，如果客户端不能和服务器连接，会出现不同种类的出错信息，可根据不同的出错信息进行判断错误的原因

u tree connect failed(可能是hosts deny字段的设置有问题)

u Connection refused(可能是smbd进程未开启，确保smbd和nmbd进程开启，并使用netstat –a检查netbios使用的139端口是否处于监听状态

u Session setup failed（可能是输入了错误的用户名和密码）

u Your server software is being unfriendly（可能是服务器软件存在问题，配置smbd时使用了错误的参数）