為客戶機提供共享使用的文件夾
SMB(Server Message Block)服務器消息塊
端口:139/tcp
CIFS(Common Internet File System)通用網際文件系統
端口tcp/445
帳號體系與linux系統賬戶有很大的關聯
samba的共享帳號和linux系統帳號名字相同、但密碼不同
useradd harry -s /sbin/nologin
安裝samba軟件包
創建samba共享帳號
useradd harry -s /sbin/nologin
useradd kenji -s /sbin/nologin
useradd chihiro -s /sbin/nologin
把系統賬戶添加到samba的賬戶數據庫,并且修改密碼
pdbedit -a harry
pdbedit -a kenji
pdbedit -a chihiro
列出所有有效的samba賬戶
samba的主配置文件
字段解釋:
[global]
workgroup = 工作組名 #windows專用
[homes] #家目錄共享
[printer] #打印機共享
[共享名]
path = 要共享的文件夾絕對路徑
browseable = yes #no為隱藏共享
read only = yes #yes為只讀
write list = user #允許寫入的用戶
valid users = username #有效的用戶
89行,修改workgroup為STAFF
追加到配置文件的最后
[common]
path = /common
hosts allow = 172.25.0.0/24
systemctl restart smb
systemctl enable smb
安裝smaba客戶端軟件
列出172.25.0.11上共享的目錄
這個包可裝可不裝。連接\172.25.0.11,進入交互式界面,對\172.25.0.11\common目錄的內容進行操作
查看受SELinux管理的服務布爾值的開關狀態
設置SELinux管理的samba服務,它的samba_export_all_ro這個值為on的狀態。即對該項功能的開關,需要加-P選項才能永久生效
臨時掛載服務器的共享文件夾到/mnt/samba
安裝cifs軟件包
_netdev這個參數很重要,它表示是一個網絡設備,必須等網絡服務啟動之后再掛載
永久掛載共享目錄
測試掛載配置是否正確
測試掛載是否正常
客戶端訪問服務端不正常的排錯思路:
1.防火墻是否限制
2.服務本身的訪問控制
3.SELinux是否限制
4.服務端目錄是否有權限
追加到文件最后
[devops]
path = /devops
write list = chihiro
mkdir /devops
echo dev >/devops/te.txt
重啟samba服務
設置samba的讀寫功能為開啟(on)
在共享目錄中嘗試創建文件,還是提示權限不足。原因是服務端本地目錄對chihiro用戶沒有寫的權限
單獨為chihiro用戶添加/devops目錄的讀寫權限
管理員一次掛載,客戶端可以臨時切換身份對共享目錄做寫操作
客戶端:
掛載mnt目錄。
修改user為kenji
增加multiuser,sec=ntlmssp參數
客戶端:
切換到普通用戶
客戶端:
切換到chihiro的身份,訪問/mnt/dev,可以執行讀寫操作
故障現象:
mount -a
mount error(13): Permission denied
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
可能原因:
server沒有使用pdbedit添加samba用戶
故障現象:
掛載成功后無法創建文件
可能原因:
server samba共享的目錄沒用setfacl分配寫權限
server的setsebool沒打開samba_export_all_rw=on
為客戶機提供共享使用的文件夾
NFS(Network File System)網絡文件系統
端口:2049/TCP、2049/UDP
RPC(Remote Process Call)遠程進程調用
端口:111/TCP、111/UDP
nfs-utils
nfs-server
NFS的配置文件
echo "/public 172.25.0.0/24(ro)" >>/etc/exports
服務端設置共享目錄
重啟NFS服務
添加nfs掛載
服務端設置可讀寫的共享目錄
服務端重啟NFS服務
客戶端添加NFS掛載配置文件
掛載測試
touch /mnt/protected/aaa.txt
不壓榨root用戶權限,即允許root在nfs共享里面創建的文件還是屬于root用戶,而不是屬于nfsnobody用戶
/abc 172.25.0.0/24(rw,no_root_squash)
當客戶端的普通用戶訪問服務端時,服務端會映射成本地相同uid的用戶,然后查找是否存在相同uid的用戶。如果有,那么就以本地用戶的身份去訪問文件夾;如果沒有,直接拒絕
初始化服務端和客戶端的ldap環境
LDAP:網絡用戶,提供用戶名
Kerberos:密碼驗證。nfc怎么使用?一次密碼認證,多次免密登陸
生產環境中會用LDAP驗證用戶名,再用kerberos驗證密碼。
用戶首次訪問時,找LDAP驗證用戶名,驗證通過后再找kerberos驗證密碼。全部驗證通過后,kerberos會給用戶頒發令牌(token)
當用戶再次訪問時,找LDAP驗證用戶名,驗證通過后。服務端發現有token,就不再去找kerberos,直接放行
服務端:
wget -O /etc/krb5.keytab?http://172.25.254.254/pub/keytabs/server0.keytab
客戶端:
wget -O /etc/krb5.keytab?http://172.25.254.254/pub/keytabs/desktop0.keytab
服務端:
mkdir -p /protected/project
chown ldapuser0 /protected/project
ls -l /protected/project
echo "/protected 172.25.0.0/24(rw,sec=krb5p)" >>/etc/exports
服務端:重啟安全nfs服務及nfs服務
客戶端:
mkdir /mnt/nfssecure
ls -l /mnt/nfssecure
tail -1 /etc/fstab
客戶端:重啟nfs-secure服務
客戶端:掛載測試
客戶端:查看掛載
遠程登陸server0
touch /protected/project/ldfile.txt
mount -a
mount.nfs: an incorrect mount option was specified
mount -a
mount.nfs: access denied by server while mounting 172.25.0.11:/protected
本文轉自 goldwinner 51CTO博客,原文鏈接:http://blog.51cto.com/355665/2068712,如需轉載請自行聯系原作者
版权声明:本站所有资料均为网友推荐收集整理而来,仅供学习和研究交流使用。
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态