前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >关于Linux上SAMBA服务的权限问题(普通挂载)

关于Linux上SAMBA服务的权限问题(普通挂载)

作者头像
KangVcar
发布2018-07-06 15:10:10
2.4K0
发布2018-07-06 15:10:10
举报
文章被收录于专栏:kangvcar

简介:Samba服务用于在不同平台(windows,linux)之间共享文件和打印机等。

注:本文不讨论multiuser多用户挂载的情况

要求:

安装配置:(在服务器节点server0配置,在客户端节点desktop0验证)

1.server0节点安装samba(服务主程序)和samba-client(提供smbpasswd用户管理工具)

1

[root@server0 ~]# yum -y install samba samba-client

2.配置防火墙放行samba服务

1234567891011121314

[root@server0 ~]# firewall-cmd --add-service=samba --permanentsuccess[root@server0 ~]# firewall-cmd --reloadsuccess[root@server0 ~]# firewall-cmd --list-allpublic (default, active) interfaces: eth0 sources: services: dhcpv6-client samba ports: masquerade: no forward-ports: icmp-blocks: rich rules:

3.创建共享目录,并配置该共享目录的SELinux上下文

1234567891011

[root@server0 ~]# mkdir /common[root@server0 ~]# chmod o+w /common[root@server0 ~]# semanage fcontext -a -t samba_share_t '/common(/.*)?'Full path required for exclude: net:[4026532580].Full path required for exclude: net:[4026532580].[root@server0 ~]# restorecon -RFvv /common/Full path required for exclude: net:[4026532580].Full path required for exclude: net:[4026532580].restorecon reset /common context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0[root@server0 ~]# ls -ldZ /commondrwxr-xrwx. root root system_u:object_r:samba_share_t:s0 /common

4.修改配置文件/etc/samba/smb.conf

123456789

[root@server0 ~]# vim /etc/samba/smb.confworkgroup = STAFFsecurity = user[common] path = /common browseable = yes hosts allow = 172.25.0.0/24 writable = no write list = brian

5.添加本地用户(bash为nologin),并添加进samba数据库进行管理(smbpass -a)

1234567891011121314

[root@server0 ~]# useradd -s /sbin/nologin rob[root@server0 ~]# useradd -s /sbin/nologin brian[root@server0 ~]# smbpasswd -a robNew SMB password:Retype new SMB password:Added user rob.[root@server0 ~]# smbpasswd -a brianNew SMB password:Retype new SMB password:Added user brian.[root@server0 ~]# id robuid=1001(rob) gid=1001(rob) groups=1001(rob)[root@server0 ~]# id brianuid=1002(brian) gid=1002(brian) groups=1002(brian)

6.重新启动服务

1

[root@server0 ~]# systemctl restart smb nmb</pre>

客户端验证1:

1.安装cifs组件以支持samba协议类型的文件共享服务

1

[root@desktop0 ~]# yum -y install cifs-utils

在客户端desktop0创建两个用户rob=1002,brian=1001

123

[root@desktop0 ~]# tail -2 /etc/passwdbrian:x:1001:1001::/home/brian:/bin/bashrob:x:1002:1002::/home/rob:/bin/bash

服务端的uid情况:rob=1001;brian=1002

客户端的uid情况:rob=1002;brian=1001

2.创建挂载点

12

[root@desktop0 ~]# mkdir /mnt/smbrob[root@desktop0 ~]# mkdir /mnt/smbbrian

3.分别以rob,brian用户挂载到smbrob,smbbrian目录

123456

[root@desktop0 ~]# mount -t cifs -o username=rob,password=redhat //server0/common /mnt/smbrob/[root@desktop0 ~]# mount -t cifs -o username=brian,password=redhat //server0/common /mnt/smbbrian/[root@desktop0 ~]# df -hFilesystem Size Used Avail Use% Mounted on//server0/common 10G 3.1G 7.0G 31% /mnt/smbrob//server0/common 10G 3.1G 7.0G 31% /mnt/smbbrian

4.以root进入到/mnt/smbbrian目录进行权限测试

1234

[root@desktop0 smbbrian]# echo 'brian' > test1[root@desktop0 smbbrian]# lltotal 1024-rw-r--r--. 1 rob rob 6 Jul 24 22:39 test1

结论是:
  • 用brian用户挂载的目录,本地root用户有可写可读权限
  • 但是root所创建的文件所属者显示为rob(这是因为客户端的用户uid映射到了samba服务端的实际用户uid)
  • 因为/mnt/smbbrian目录是用brian用户去挂载的,所以在这个目录下创建的所有文件都属于brian用户(brian用户在samba服务器端的用户uid是1002),但是此处所创建的文件所属者却显示为rob(因为samba只识别用户uid号,并不识别用户名;因为用户uid1002在客户端对应的用户是rob,所以就显示为了rob),实际上这个文件的真正所属者是samba服务端用户uid为1002的用户。

5.以root进入到/mnt/samrob目录进行权限测试

1234

[root@desktop0 smbrob]# echo 'rob' > test2bash: test2: Permission denied[root@desktop0 smbrob]# cat test1brian

结论是:
  • 用rob用户挂载的目录,本地root用户有只有可读权限,没有写入权限

客户端验证2:

1.查看rob和brian在服务器端的id

1234

[root@server0 ~]# id robuid=1001(rob) gid=1001(rob) groups=1001(rob)[root@server0 ~]# id brianuid=1002(brian) gid=1002(brian) groups=1002(brian)

2.删除验证1时在客户端自动创建的用户rob,brian

12

[root@desktop0 smbrob]# userdel -r rob[root@desktop0 smbrob]# userdel -r brian

服务端的uid情况:rob=1001;brian=1002

客户端的uid情况:无rob,brian用户

3.挂载步骤和验证1一样

4.以root进入到/mnt/smbbrian目录进行权限测试

smbbrian]# echo 'brian222' > test3

1234

[root@desktop0 smbbrian]# lltotal 2048-rw-r--r--. 1 1002 1002 6 Jul 24 22:39 test1-rw-r--r--. 1 1002 1002 9 Jul 24 23:02 test3

结论是:
  • 用brian用户挂载的目录,本地root用户有可写可读权限
  • 因为brian用户在samba服务端的uid为1002,所以这里就显示为1002
  • 再次验证了samba用uid来识别用户,而非用户名

5.以root进入到/mnt/samrob目录进行权限测试

1234

[root@desktop0 smbrob]# echo 'rob222' > test4bash: test4: Permission denied[root@desktop0 smbrob]# cat test3brian222

结论是:
  • 用rob用户挂载的目录,本地root用户有只有可读权限,没有写入权限

客户端验证3:

1.查看rob和brian在服务器端的uid

1234

[root@server0 ~]# id robuid=1001(rob) gid=1001(rob) groups=1001(rob)[root@server0 ~]# id brianuid=1002(brian) gid=1002(brian) groups=1002(brian)

2.删除在客户端自动创建的用户rob,brian(验证2以完成该操作);然后在客户端再创建两个用户rob,brian,且用户uid和samba服务端的用户uid相同(bash为默认/sbin/login)

123456

[root@desktop0 smbrob]# useradd -u 1001 rob[root@desktop0 smbrob]# useradd -u 1002 brian[root@desktop0 smbrob]# id robuid=1001(rob) gid=1001(rob) groups=1001(rob)[root@desktop0 smbrob]# id brianuid=1002(brian) gid=1002(brian) groups=1002(brian)

服务端的uid情况:rob=1001;brian=1002

客户端的uid情况:rob=1001;brian=1002

3.挂载步骤和验证1一样

4.以root进入到/mnt/smbbrian目录进行权限测试

123456

[root@desktop0 smbbrian]# echo 'brian555' > test5[root@desktop0 smbbrian]# lltotal 3072-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5

结论是:
  • 结论和实验2一样,只是所属者的uid1002对应上了本地用brian,所以就显示为brian了

5.以root进入到/mnt/samrob目录进行权限测试

1234

[root@desktop0 smbrob]# echo 'rob666' > test6bash: test6: Permission denied[root@desktop0 smbrob]# cat test5brian555

结论是:
  • 结论和验证2一样

6.以brian,rob,student进入到/mnt/smbbrian目录进行权限测试

123456789101112131415161718192021222324252627282930313233343536

[root@desktop0 ~]# su - brian[brian@desktop0 ~]$ cd /mnt/smbbrian/[brian@desktop0 smbbrian]$ echo 'brian777' > test7[brian@desktop0 smbbrian]$ lltotal 4096-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5-rw-r--r--. 1 brian brian 9 Jul 24 23:24 test7oot@desktop0 ~]# su - rob[rob@desktop0 ~]$ cd /mnt/smbbrian/[rob@desktop0 smbbrian]$ lltotal 4096-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5-rw-r--r--. 1 brian brian 9 Jul 24 23:24 test7[rob@desktop0 smbbrian]$ echo 'rob888' > test8-bash: test8: Permission denied[rob@desktop0 smbbrian]$ cat test7brian777[root@desktop0 ~]# su - student[student@desktop0 ~]$ cd /mnt/smbbrian/[student@desktop0 smbbrian]$ eche 'student111' > file1-bash: file1: Permission denied[student@desktop0 smbbrian]$ lltotal 5120-rw-r--r--. 1 brian brian 0 Jul 24 23:35 file1-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5-rw-r--r--. 1 brian brian 9 Jul 24 23:24 test7-rw-r--r--. 1 brian brian 0 Jul 24 23:27 test8-rw-r--r--. 1 brian brian 9 Jul 24 23:29 test9

结论是:
  • brian用户因为与samba服务器端brian用户相同的uid,所以该用户对/mnt/smbbrian目录权限为可读写
  • rob用户因为与samba服务器端brian用户相同的uid,所以该用户对/mnt/smbbrian目录权限为只读
  • student 没有写入权限,但是有创建文件的权限(虽然提示Permission denied,但还是成功创建文件了,但是文件里没有能写入内容)

7.以brian,rob,student进入到/mnt/smbrob目录进行权限测试

123456789101112131415161718192021222324252627282930313233

[root@desktop0 ~]# su - brian[brian@desktop0 ~]$ cd /mnt/smbbrian/[brian@desktop0 smbbrian]$ echo 'brian999' > test9[brian@desktop0 smbbrian]$ lltotal 5120-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5-rw-r--r--. 1 brian brian 9 Jul 24 23:24 test7-rw-r--r--. 1 brian brian 0 Jul 24 23:27 test8-rw-r--r--. 1 brian brian 9 Jul 24 23:29 test9[root@desktop0 ~]# su - rob[rob@desktop0 ~]$ cd /mnt/smbrob/[rob@desktop0 smbrob]$ echp 'rob1010' > test10-bash: test10: Permission denied[rob@desktop0 smbrob]$ cat test9brian999[root@desktop0 ~]# su - student[student@desktop0 ~]$ cd /mnt/smbrob/[student@desktop0 smbrob]$ echo 'student222' > file2-bash: file2: Permission denied[student@desktop0 smbrob]$ lltotal 5120-rw-r--r--. 1 brian brian 0 Jul 24 23:35 file1-rw-r--r--. 1 brian brian 6 Jul 24 22:39 test1-rw-r--r--. 1 brian brian 9 Jul 24 23:02 test3-rw-r--r--. 1 brian brian 9 Jul 24 23:17 test5-rw-r--r--. 1 brian brian 9 Jul 24 23:24 test7-rw-r--r--. 1 brian brian 0 Jul 24 23:27 test8-rw-r--r--. 1 brian brian 9 Jul 24 23:29 test9[student@desktop0 smbrob]$ cat file1

结论是:
  • brian用户因为与samba服务器端brian用户相同的uid,所以该用户对/mnt/smbbrian目录权限为可读写
  • rob用户因为与samba服务器端brian用户相同的uid,所以该用户对/mnt/smbbrian目录权限为只读
  • student 没有写入权限,也没有创建文件的权限,只有读权限

综上所述:

  • 在samba服务器端,权限由共享的目录的普通权限和smb.conf配置文件共同约束
  • samba服务的认证数据在samba的数据库里,而非系统用户(用smbpasswd来管理samba用户数据)
  • samba服务使用uid来识别用户,而非用户名
  • 在客户端,所挂载的目录权限由所挂载的用户权限来决定(本地root用户除外)
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2017-11-14,如有侵权请联系 cloudcommunity@tencent.com 删除
linux
windows
yum

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

linux
windows
yum
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 要求:
  • 安装配置:(在服务器节点server0配置,在客户端节点desktop0验证)
    • 1.server0节点安装samba(服务主程序)和samba-client(提供smbpasswd用户管理工具)
      • 2.配置防火墙放行samba服务
        • 3.创建共享目录,并配置该共享目录的SELinux上下文
          • 4.修改配置文件/etc/samba/smb.conf
            • 5.添加本地用户(bash为nologin),并添加进samba数据库进行管理(smbpass -a)
              • 6.重新启动服务
              • 客户端验证1:
                • 1.安装cifs组件以支持samba协议类型的文件共享服务
                  • 2.创建挂载点
                    • 3.分别以rob,brian用户挂载到smbrob,smbbrian目录
                      • 4.以root进入到/mnt/smbbrian目录进行权限测试
                        • 结论是:
                      • 5.以root进入到/mnt/samrob目录进行权限测试
                        • 结论是:
                    • 客户端验证2:
                      • 1.查看rob和brian在服务器端的id
                        • 2.删除验证1时在客户端自动创建的用户rob,brian
                          • 3.挂载步骤和验证1一样
                            • 4.以root进入到/mnt/smbbrian目录进行权限测试
                              • 结论是:
                            • 5.以root进入到/mnt/samrob目录进行权限测试
                              • 结论是:
                          • 客户端验证3:
                            • 1.查看rob和brian在服务器端的uid
                              • 2.删除在客户端自动创建的用户rob,brian(验证2以完成该操作);然后在客户端再创建两个用户rob,brian,且用户uid和samba服务端的用户uid相同(bash为默认/sbin/login)
                                • 3.挂载步骤和验证1一样
                                  • 4.以root进入到/mnt/smbbrian目录进行权限测试
                                    • 结论是:
                                  • 5.以root进入到/mnt/samrob目录进行权限测试
                                    • 结论是:
                                  • 6.以brian,rob,student进入到/mnt/smbbrian目录进行权限测试
                                    • 结论是:
                                  • 7.以brian,rob,student进入到/mnt/smbrob目录进行权限测试
                                    • 结论是:
                                • 综上所述:
                                相关产品与服务
                                云服务器
                                云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
                                产品介绍产品文档
                                2核2G服务器新用户限时秒杀28元/年
                                领券

                                腾讯云开发者

                                扫码关注腾讯云开发者

                                扫码关注腾讯云开发者

                                领取腾讯云代金券

                                热门产品

                                热门推荐

                                更多推荐

                                Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

                                深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

                                腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

                                问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

                                Copyright © 2013 - 2024 Tencent Cloud.

                                All Rights Reserved. 腾讯云 版权所有

                                登录 后参与评论