21、深入解析Linux与Windows集成：Samba客户端与服务器配置指南

深入解析Linux与Windows集成：Samba客户端与服务器配置指南

1. smbclient命令与注意事项

在Linux与Windows集成的过程中，smbclient是一个非常重要的工具，它提供了一系列命令来操作服务器上的文件和目录。以下是一些常用命令：
- rm <mask> ：从服务器的当前工作目录中删除所有符合 mask 的文件。
- rmdir <directory name> ：在用户权限允许的情况下，从服务器中删除指定的目录。
- tar <c|x>[IXbgNa] ：执行tar操作，行为可能会受到 tarmode 命令的影响。使用 g （增量）和 N （较新）会影响 tarmode 设置。需要注意的是， tar x 使用 - 选项可能无法正常工作，建议使用命令行选项。
- blocksize <blocksize> ：设置块大小，必须跟随一个有效的（大于零）块大小，使tar文件以 blocksize*TBLOCK （通常为512字节）的块进行写入。
- tarmode <full|inc|reset |noreset> ：更改tar在处理存档位时的行为。 full 模式下，无论存档位设置如何，tar都会备份所有内容（默认模式）； inc 模式下，tar仅备份设置了存档位的文件； reset 模式下，tar会重置所有备份文件的存档位（意味着读写共享）。
- setmode <filename> <perm=[+ |\-]rsha> ：类似于DOS的 attrib 命令，用于设置文件权限。例如， setmode myfile +r 会将 myfile 设置为只读。

此外，还有一些使用时的注意事项：
- 某些服务器对用户名、密码、共享名（即服务名）和机器名的大小写很敏感。如果连接失败，可以尝试将所有参数都使用大写。
- 连接某些类型的服务器时，通常需要使用 -n 选项。例如，OS/2 LanManager要求使用有效的NetBIOS名称，因此需要提供服务器已知的有效名称。
- 当服务器支持LANMAN2协议或更高版本时，smbclient支持长文件名。

2. 环境变量与安装建议

在使用smbclient时，有两个环境变量可能会用到：
- USER ：可能包含使用客户端的用户的用户名，此信息仅在协议级别足够高以支持会话级密码时使用。
- PASSWORD ：可能包含使用客户端的用户的密码，此信息仅在协议级别足够高以支持会话级密码时使用。

关于smbclient的安装，建议将其安装在 /usr/local/samba/bin 或 /usr/samba/bin 目录下，该目录所有用户可读，仅root可写。客户端程序本身应所有用户可执行，且不建议设置 suid 或 sgid 。客户端日志文件应放在仅用户可读可写的目录中。

要测试客户端，需要知道一个正在运行的SMB/CIFS服务器的名称。可以以普通用户身份运行 smbd ，并将其作为守护进程运行在用户可访问的端口（通常是大于1024的端口号）上，以此作为合适的测试服务器。

3. 诊断与版本信息

大多数由客户端发出的诊断信息会记录在指定的日志文件中。日志文件名在编译时指定，但可以在命令行中覆盖。可用的诊断信息的数量和性质取决于客户端使用的调试级别。如果遇到问题，可以将调试级别设置为3并查看日志文件。

此文档适用于Samba套件的2.0版本。Samba最初由Andrew Tridgell创建，现在由Samba团队作为开源项目进行开发，类似于Linux内核的开发方式。

4. smbd服务器概述

smbd 是Samba套件中的服务器守护进程，它使用SMB（或CIFS）协议为Windows客户端提供文件共享和打印服务。该协议与LanManager协议兼容，可以服务于多种客户端，包括MSCLIENT 3.0 for DOS、Windows for Workgroups、Windows 95、Windows NT、OS/2、DAVE for Macintosh和Linux的smbfs。

运行此服务器存在重大的安全影响，在进行安装之前，必须阅读 smb.conf 的手册页。每当客户端请求会话时，就会创建一个会话。每个客户端在每个会话中都会得到一个服务器的副本，该副本会处理该客户端在该会话期间的所有连接。当客户端的所有连接关闭时，该客户端的服务器副本将终止。

配置文件及其包含的任何文件，如果发生更改，将每分钟自动重新加载一次。也可以通过向服务器发送 SIGHUP 信号来强制重新加载。重新加载配置文件不会影响已经建立的任何服务的连接，用户要么断开与服务的连接，要么杀死并重新启动 smbd 。

5. smbd服务器选项

smbd 服务器有一系列选项，以下是这些选项的详细说明：
| 选项 | 描述 |
| ---- | ---- |
| -D | 使服务器作为守护进程运行，即它会分离自身并在后台运行，在适当的端口上处理请求。对于提供非临时文件和打印服务的服务器，建议以守护进程模式运行 smbd 。默认情况下，服务器不会作为守护进程运行。 |
| -a | 每个新连接将日志消息追加到日志文件中，这是默认行为。 |
| -o | 打开日志文件时将其覆盖。默认情况下，日志文件是追加模式。 |
| -d debuglevel | debuglevel 是一个从0到10的整数，未指定时默认值为0。值越高，记录到日志文件中的服务器活动细节就越多。级别0仅记录关键错误和严重警告；级别1适合日常运行，会生成少量操作信息；级别1以上会生成大量日志数据，仅在调查问题时使用；级别3以上主要供开发人员使用，会生成大量难以理解的日志数据。指定此参数会覆盖 smb.conf 文件中的日志级别参数。 |
| -l log file | 指定一个日志文件名，运行中的服务器的信息和调试消息将记录到该文件中。服务器不会删除生成的日志文件，但其大小可以通过 smb.conf 文件中的 max log size 选项控制。默认日志文件名在编译时指定。 |
| -O socket options | 具体细节请参考 smb.conf 文件中的 socket options 参数。 |
| -p port number | port number 是一个正整数值，未指定时默认值为139。这是客户端软件连接服务器时使用的端口号。SMB over TCP的标准（知名）端口号是139，因此为默认值。如果希望以普通用户而不是root身份运行服务器，大多数系统要求使用大于1024的端口号。如果将服务器配置在非139端口，需要在端口139上进行端口重定向服务，具体细节在 rfc1002.txt 的4.3.5节中概述。此参数通常仅在上述情况下指定。 |
| -s configuration file | 指定的文件包含服务器所需的配置详细信息，包括服务器特定信息（如使用的 printcap 文件）以及服务器要提供的所有服务的描述。更多信息请参考 smb.conf 。默认配置文件名在编译时确定。 |
| -i scope | 指定服务器在生成NetBIOS名称时将使用的NetBIOS范围。有关NetBIOS范围的详细使用，请参阅 rfc1001.txt 和 rfc1002.txt 。NetBIOS范围很少使用，只有在负责所有与之通信的NetBIOS系统的系统管理员时才设置此参数。 |
| -h | 打印 smbd 的帮助信息（使用说明）。 |
| -P | 被动选项，使 smbd 不发送任何网络流量，仅用于开发人员调试。 |

6. 相关文件与局限性

以下是与 smbd 服务器相关的一些文件：
- /etc/inetd.conf ：如果服务器要由 inetd 元守护进程运行，此文件必须包含元守护进程的合适启动信息。
- /etc/rc （或系统使用的任何初始化脚本）：如果在启动时将服务器作为守护进程运行，此文件需要包含服务器的适当启动序列。
- /etc/services ：如果通过 inetd 元守护进程运行服务器，此文件必须包含服务名称（如 netbios-ssn ）到服务端口（如139）和协议类型（如 tcp ）的映射。
- /usr/local/samba/lib/smb.conf ：这是 smb.conf 服务器配置文件的默认位置，其他常见安装位置还有 /usr/samba/lib/smb.conf 和 /etc/smb.conf 。该文件描述了服务器要向客户端提供的所有服务。

在某些系统上， smbd 在 setuid() 调用后无法将 uid 更改回root，这种系统被称为“陷阱门” uid 系统。如果使用这样的系统，将无法同时以两个不同的用户身份从客户端（如PC）进行连接，尝试连接第二个用户会导致“访问被拒绝”或类似错误。

7. 环境变量与安装建议

环境变量 Printer 在没有为可打印服务指定打印机名称时，大多数系统会使用该变量的值（如果未定义则使用 lp ）作为要使用的打印机名称，但这并非服务器特有的。

对于 smbd 服务器及其支持文件的安装位置，由各个系统管理员决定，以下是一些建议：
- 建议将服务器软件安装在 /usr/local/samba 层次结构下的一个所有用户可读、仅root可写的目录中。服务器程序本身应所有用户可执行，不建议设置 suid 。在某些系统上，将 smbd 的 sgid 设置为一个空组可能是有价值的，因为某些系统可能存在一个安全漏洞，即成为用户的守护进程可以被调试器附加。将 smbd 文件的 sgid 设置为一个空组可以防止此漏洞被利用。此安全漏洞和建议的修复方法仅在旧版本（内核2.0之前）的Linux上得到确认，目前在其他系统上的测试显示它们对此免疫。
- 服务器日志文件应放在仅root可读可写的目录中，因为日志文件可能包含敏感信息。
- 配置文件应放在仅root可读可写的目录中，因为配置文件控制着服务器提供的服务的安全性。如果需要，配置文件可以设置为所有用户可读，但这对于服务器的正确运行不是必需的，也不建议这样做。服务器源代码中提供了一个示例配置文件 smb.conf.sample ，可以将其重命名为 smb.conf 并根据需要进行修改。

假设以下安装情况：
- smbd （服务器程序）安装在 /usr/local/samba/bin
- smb.conf （配置文件）安装在 /usr/local/samba/lib
- 日志文件存储在 /var/adm/smblogs

服务器可以由用户作为守护进程在启动时运行，也可以由 inetd 等元守护进程根据请求运行。如果作为守护进程运行，服务器将始终处于就绪状态，因此启动会话会更快；如果由元守护进程运行，可以节省一些内存，并且可以使用 tcpd 等TCP包装器提供额外的安全性。对于作为文件服务器的正式使用，建议将 smbd 作为守护进程运行。

8. 运行服务器的方式

8.1 作为守护进程运行

要从命令行将服务器作为守护进程运行，只需在命令行中添加 -D 选项，无需在命令行末尾添加 & ，因为 -D 选项会使服务器从终端分离。任何用户都可以将服务器作为守护进程运行（当然需要有执行权限），这对于测试目的很有用，甚至可以作为临时替代 ftp 的工具。但这样运行时，服务器仅具有运行它的用户的权限。

要确保服务器在机器启动时作为守护进程运行，并以root身份运行以服务多个客户端，需要修改系统启动文件。在适当的位置（例如 /etc/rc ）插入以下行，并根据需要替换端口号、日志文件位置、配置文件位置和调试级别：

/usr/local/samba/bin/smbd -D -l /var/adm/smblogs/log -s /usr/local/samba/lib/smb.conf

如果编译时使用的选项适合系统，除 -D 之外的所有参数都可以省略。

8.2 根据请求运行

如果系统使用 inetd 等元守护进程，可以安排在进程尝试连接时启动 smbd 服务器。这需要对主机机器的启动文件进行一些更改。如果以普通用户而不是root身份进行实验，需要系统管理员的帮助来修改系统文件。

通常需要同时设置NetBIOS名称服务器 nmbd ，具体操作请参考 nmbd 的手册页。

操作步骤如下：
1. 确保在 /etc/services 文件中配置了一个端口，尽可能使用知名端口139，但也可以使用任何端口。确保以下类似的行存在于 /etc/services 中：

netbios-ssn 139/tcp

对于NIS/YP用户，可能需要重建NIS服务映射而不是修改本地的 /etc/services 文件。
2. 在 /etc/inetd.conf 文件中添加合适的行（如果使用的不是 inetd 元守护进程，则需要自行处理）。注意该行的第一项应与 /etc/services 中的服务名称匹配，并根据系统替换适当的值：

netbios-ssn stream tcp nowait root /usr/local/samba/bin/smbd -d1 -l/var/adm/smblogs/log -s/usr/local/samba/lib/smb.conf

即使使用非标准端口号，这里也无需指定端口号。
3. 编辑配置文件以提供合适的服务。以下两个服务通常是开始时所需的：

[homes]
writeable = yes
[printers]
writeable = no
printable = yes
path = /tmp
public = yes

这将允许连接到主目录并打印到主机支持的任何打印机（取决于用户权限）。

9. 安装测试、诊断与信号处理

9.1 安装测试

如果将服务器作为守护进程运行，在进行测试之前先执行它；如果使用元守护进程，要么重启系统，要么杀死并重新启动元守护进程。某些版本的 inetd 在收到 HUP 信号时会重新读取其配置表。

如果机器名称是 fred ，用户名称是 mary ，现在应该能够连接到服务 \\fred\mary 。为了正确测试和实验服务器，建议使用 smbclient 程序，并按照Samba安装目录 docs/ 中的 DIAGNOSIS.txt 文件中概述的步骤进行操作。

9.2 诊断

大多数由服务器发出的诊断信息会记录在指定的日志文件中。日志文件名在编译时指定，但可以在命令行中覆盖。可用的诊断信息的数量和性质取决于服务器使用的调试级别。如果遇到问题，可以将调试级别设置为3并查看日志文件。大多数消息都比较容易理解，但由于源代码中可用的诊断信息太多，目前无法详细描述每个诊断信息。此时，最好的方法是在源代码中使用 grep 命令并检查产生所看到的诊断信息的条件。

9.3 信号处理

• 向 smbd 发送 SIGHUP 信号将导致它在短时间内重新加载其 smb.conf 配置文件。
• 建议不要使用 SIGKILL (-9) 来关闭用户的 smbd 进程，除非作为最后手段，因为这可能会使共享内存区域处于不一致状态。安全的方法是向它发送 SIGTERM (-15) 信号并等待它自行终止。
• 可以通过向 smbd 发送 SIGUSR1 (kill -USR1 <smbd-pid>) 信号来提高其调试日志级别，通过发送 SIGUSR2 (kill -USR2 <smbd-pid>) 信号来降低日志级别。这样可以在保持正常低日志级别的同时诊断临时问题。需要注意的是，由于信号处理程序会进行调试写入，它们在 smbd 中不是可重入的，因此应该等待 smbd 处于等待传入SMB的状态后再发送信号。

通过以上步骤和说明，你可以全面了解并掌握在Linux与Windows集成环境中使用 smbclient 和运行 smbd 服务器的方法，同时能够处理可能遇到的问题和进行有效的诊断。

深入解析Linux与Windows集成：Samba客户端与服务器配置指南

10. 总结与最佳实践

在Linux与Windows集成的过程中，Samba套件中的 smbclient 和 smbd 发挥着至关重要的作用。 smbclient 为用户提供了在Linux系统上操作Windows共享资源的便捷方式，而 smbd 则使得Linux系统能够为Windows客户端提供文件共享和打印服务。

以下是一些最佳实践总结：
- 安装与配置
- 按照建议将 smbclient 和 smbd 安装在合适的目录，确保文件权限设置正确，以保障系统安全。
- 仔细配置 smb.conf 文件，根据实际需求调整各项参数，为客户端提供合适的服务。
- 使用与调试
- 在使用 smbclient 时，注意大小写敏感问题和必要的选项，如 -n 选项。
- 当遇到问题时，合理调整调试级别，查看日志文件进行故障排查。
- 服务器运行
- 对于正式的文件服务器，建议将 smbd 作为守护进程运行，确保服务的稳定性和响应速度。
- 在修改配置文件后，使用 SIGHUP 信号进行安全的重新加载。

11. 常见问题解答

为了帮助大家更好地应对可能遇到的问题，这里整理了一些常见问题及解答：
| 问题 | 解答 |
| ---- | ---- |
| 连接服务器失败怎么办？ | 首先检查用户名、密码、共享名和机器名的大小写是否正确，尝试使用大写参数。同时，确认是否需要使用 -n 选项。如果使用非标准端口，确保进行了正确的端口重定向。 |
| 日志文件中出现大量信息，如何处理？ | 根据问题的严重程度调整调试级别。如果只是日常运行，将调试级别设置为1；如果需要深入排查问题，可设置为3。避免长时间使用高级别的调试，以免产生过多难以处理的日志数据。 |
| 在“陷阱门” uid 系统上无法以不同用户身份连接怎么办？ | 这种情况下，目前没有很好的解决办法，只能尽量避免同时以不同用户身份从客户端进行连接。 |
| 如何安全地关闭 smbd 进程？ | 建议使用 SIGTERM (-15) 信号，等待进程自行终止，避免使用 SIGKILL (-9) 信号，以免导致共享内存区域不一致。 |

12. 流程图总结

下面通过mermaid格式的流程图来总结 smbd 服务器的安装与运行流程：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px

    A([开始]):::startend --> B{选择运行方式}:::decision
    B -->|作为守护进程运行| C(修改启动文件添加 -D 选项):::process
    B -->|根据请求运行| D(配置 /etc/services):::process
    C --> E(启动服务器):::process
    D --> E
    E --> F(配置 smb.conf 文件):::process
    F --> G(测试连接):::process
    G --> H{连接成功?}:::decision
    H -->|是| I([完成]):::startend
    H -->|否| J(调整参数和调试级别):::process
    J --> G

这个流程图展示了从选择运行方式到最终完成服务器配置和测试的整个过程。如果连接失败，可以通过调整参数和调试级别重新进行测试，直到成功连接。

13. 未来展望

随着技术的不断发展，Linux与Windows的集成将会更加紧密和高效。Samba套件也会不断更新和完善，提供更多的功能和更好的性能。未来可能会在以下方面有所改进：
- 安全性增强 ：进一步加强对各种安全漏洞的防范，提供更完善的安全机制，确保数据的安全传输和存储。
- 兼容性提升 ：更好地支持新的Windows版本和其他操作系统，以及新的网络协议和技术。
- 用户体验优化 ：简化配置过程，提供更友好的用户界面和工具，降低使用门槛。

总之，通过不断学习和掌握Samba的使用方法，我们可以更好地实现Linux与Windows的集成，为企业和个人用户提供更优质的服务。希望本文能够帮助你顺利搭建和管理Samba服务器，实现不同操作系统之间的无缝协作。