Day10 samba&NFS(Enginner04)

  1. 云栖社区>
  2. 博客>
  3. 正文

Day10 samba&NFS(Enginner04)

技术小阿哥 2017-11-27 17:49:00 浏览831
展开阅读全文

一、samba服务基础

1.1 用途

为客户机提供共享使用的文件夹

1.2 协议

1.2.1 SMB协议

SMB(Server Message Block)服务器消息块
端口:139/tcp

1.2.2 CIFS协议

CIFS(Common Internet File System)通用网际文件系统
端口tcp/445

1.3 帐号体系

帐号体系与linux系统账户有很大的关联
samba的共享帐号和linux系统帐号名字相同、但密码不同

1.3.1 账户默认禁止本地登陆

useradd harry -s /sbin/nologin

1.4 搭建samba服务准备工作

1.4.1 yum -y install samba

安装samba软件包

1.4.2 useradd username -s /sbin/nologin

创建samba共享帐号
useradd harry -s /sbin/nologin
useradd kenji -s /sbin/nologin
useradd chihiro -s /sbin/nologin

1.4.3 pdbedit -a username

把系统账户添加到samba的账户数据库,并且修改密码
pdbedit -a harry
pdbedit -a kenji
pdbedit -a chihiro

1.4.4 pdbedit -L

列出所有有效的samba账户

1.4.5 /etc/samba/smb.conf

samba的主配置文件
字段解释:
[global]
workgroup = 工作组名 #windows专用
[homes] #家目录共享
[printer] #打印机共享
[共享名]
path = 要共享的文件夹绝对路径
browseable = yes #no为隐藏共享
read only = yes #yes为只读
write list = user #允许写入的用户
valid users = username #有效的用户

1.5 搭建samba只读共享

1.5.1 修改配置文件

89行,修改workgroup为STAFF
追加到配置文件的最后
[common]
path = /common
hosts allow = 172.25.0.0/24

1.5.2 重启服务并设置开机自启动

systemctl restart smb
systemctl enable smb

1.5.3 yum -y install samba-client

安装smaba客户端软件

1.5.4 smbclient -L //172.25.0.11

列出172.25.0.11上共享的目录

1.5.5 smbclient -U harry //172.25.0.11/common

这个包可装可不装。连接\172.25.0.11,进入交互式界面,对\172.25.0.11\common目录的内容进行操作

1.5.6 getsebool -a

查看受SELinux管理的服务布尔值的开关状态

1.5.7 setsebool -P samba_export_all_ro=on

设置SELinux管理的samba服务,它的samba_export_all_ro这个值为on的状态。即对该项功能的开关,需要加-P选项才能永久生效

1.5.8 mount -o ro,user=harry,pass=123 //172.25.0.11/common /mnt/samba

临时挂载服务器的共享文件夹到/mnt/samba

1.5.9 yum -y install cifs-utils

安装cifs软件包

1.5.10 echo "//172.25.0.11/common /mnt/samba cifs user=harry,pass=123,_netdev 0 0" >>/etc/fstab

_netdev这个参数很重要,它表示是一个网络设备,必须等网络服务启动之后再挂载
永久挂载共享目录

1.5.11 mount -a

测试挂载配置是否正确

1.5.12 df -hT

测试挂载是否正常

1.6 搭建samba读写的共享

客户端访问服务端不正常的排错思路:
1.防火墙是否限制
2.服务本身的访问控制
3.SELinux是否限制
4.服务端目录是否有权限

1.6.1 修改配置文件

追加到文件最后
[devops]
path = /devops
write list = chihiro

1.6.2 创建目录及测试文件

mkdir /devops
echo dev >/devops/te.txt

1.6.3 systemctl restart smb

重启samba服务

1.6.4 setsebool samba_export_all_rw=on

设置samba的读写功能为开启(on)
在共享目录中尝试创建文件,还是提示权限不足。原因是服务端本地目录对chihiro用户没有写的权限

1.6.5 setfacl -m u:chihiro:rwx /devops/

单独为chihiro用户添加/devops目录的读写权限

1.7 samba多用户访问

管理员一次挂载,客户端可以临时切换身份对共享目录做写操作

1.7.1 echo '//172.25.0.11/devops /mnt/dev cifs user=kenji,pass=123,_netdev,multiuser,sec=ntlmssp 0 0' >>/etc/fstab

客户端:
挂载mnt目录。
修改user为kenji
增加multiuser,sec=ntlmssp参数

1.7.2 su - student

客户端:
切换到普通用户

1.7.3 cifscreds add -u chihiro 172.25.0.11

客户端:
切换到chihiro的身份,访问/mnt/dev,可以执行读写操作

1.8 排错

故障现象:
mount -a
mount error(13): Permission denied
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
可能原因:
server没有使用pdbedit添加samba用户

故障现象:
挂载成功后无法创建文件
可能原因:
server samba共享的目录没用setfacl分配写权限
server的setsebool没打开samba_export_all_rw=on

二、配置NFS共享

2.1 概述

为客户机提供共享使用的文件夹

2.2 协议

2.2.1 NFS协议

NFS(Network File System)网络文件系统
端口:2049/TCP、2049/UDP

2.2.2 RPC协议

RPC(Remote Process Call)远程进程调用
端口:111/TCP、111/UDP

2.3 所需软件包

nfs-utils

2.4 服务名称

nfs-server

2.5 搭建只读NFS服务

2.5.1 /etc/exports

NFS的配置文件
echo "/public 172.25.0.0/24(ro)" >>/etc/exports
服务端设置共享目录

2.5.2 systemctr restart nfs-server

重启NFS服务

2.5.3 echo "172.25.0.11:/public /mnt/nfs nfs _netdev 0 0" >>/etc/fstab

添加nfs挂载

2.6 搭建读写NFS服务

2.6.1 echo "/protected 172.25.0.0/24(rw)" >>/etc/exports

服务端设置可读写的共享目录

2.6.2 systemctl restart nfs-server

服务端重启NFS服务

2.6.3 echo "172.25.0.11:/protected /mnt/protected nfs _netdev 0 0" >>/etc/fstab

客户端添加NFS挂载配置文件

2.6.4 mount -a

挂载测试

2.6.5 读写测试

touch /mnt/protected/aaa.txt

2.6.6 no_root_squash参数

不压榨root用户权限,即允许root在nfs共享里面创建的文件还是属于root用户,而不是属于nfsnobody用户
/abc 172.25.0.0/24(rw,no_root_squash)

2.6.7 普通用户访问NFS

当客户端的普通用户访问服务端时,服务端会映射成本地相同uid的用户,然后查找是否存在相同uid的用户。如果有,那么就以本地用户的身份去访问文件夹;如果没有,直接拒绝

2.7 搭建安全的NFS共享

2.7.1 lab nfskrb5 setup

初始化服务端和客户端的ldap环境

2.7.2 LDAP和kerberos

LDAP:网络用户,提供用户名
Kerberos:密码验证。一次密码认证,多次免密登陆
生产环境中会用LDAP验证用户名,再用kerberos验证密码。
用户首次访问时,找LDAP验证用户名,验证通过后再找kerberos验证密码。全部验证通过后,kerberos会给用户颁发令牌(token)
当用户再次访问时,找LDAP验证用户名,验证通过后。服务端发现有token,就不再去找kerberos,直接放行

2.7.3 下载kerberos的密钥文件

服务端:
wget -O /etc/krb5.keytab http://172.25.254.254/pub/keytabs/server0.keytab
客户端:
wget -O /etc/krb5.keytab http://172.25.254.254/pub/keytabs/desktop0.keytab

2.7.4 在/etc/exports增加sec=krb5p参数

服务端:
mkdir -p /protected/project
chown ldapuser0 /protected/project
ls -l /protected/project
echo "/protected 172.25.0.0/24(rw,sec=krb5p)" >>/etc/exports

2.7.5 systemctl restart nfs-secure-server nfs-server

服务端:重启安全nfs服务及nfs服务

2.7.6 echo '172.25.0.11:/protected /mnt/nfssecure nfs sec=krb5p,_netdev 0 0' >>/etc/fstab

客户端:
mkdir /mnt/nfssecure
ls -l /mnt/nfssecure
tail -1 /etc/fstab

2.7.7 systemctl restart nfs-secure

客户端:重启nfs-secure服务

2.7.8 mount -a

客户端:挂载测试

2.7.9 df -hT

客户端:查看挂载

2.7.10 ssh ldapuser0@server0.example.com

远程登陆server0
touch /protected/project/ldfile.txt

2.8 排错

2.8.1 客户端没启动nfs-secure服务

mount -a
mount.nfs: an incorrect mount option was specified

2.8.2 客户端没有/etc/krb5.keytab密钥文件

mount -a
mount.nfs: access denied by server while mounting 172.25.0.11:/protected



本文转自 goldwinner 51CTO博客,原文链接:http://blog.51cto.com/355665/2068712,如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
技术小阿哥
+ 关注