NFS服务

课程目标1

• 了解NFS服务器的应用场景及特点
• 掌握NFS服务器实现读/写文件共享
• 掌握NFS Client 访问及挂载

一、NFS服务介绍

NFS（Network File System）网络文件系统

• 主要用于linux系统上实现文件共享的一种协议，其客户端主要是Linux
• 没有用户认证机制，且数据在网络上传送的时候是明文传送，一般只能在局域网中使用
• 支持多节点同时挂载及并发写入

企业应用：为集群中的web server提供后端存储

该服务包括的组件：

RPC（Remote Procedure Call Protocol）： 远程过程调用协议，它是一种通过网络从远程计算机程序上请求服务，不需要了解底层网络技术的协议。

rpcbind //负责NFS的数据传输，远程过程调用 tcp协议 端口111

nfs-utils //控制共享哪些文件,权限管理

二、NFS服务器搭建

​x
​
nfs-utils-1.2.3-26.el6.x86_64       nfs服务的一个脚本控制工具（服务端与客户端）
nfs4-acl-tools-0.3.3-6.el6.x86_64   acl 工具包
nfs-utils-lib-1.1.5-4.el6.x86_64    nfs 库文件
​
[root@server ~]# rpm -q rpcbind
rpcbind-0.2.0-11.el6.x86_64
[root@server ~]# rpm -aq|grep ^nfs
nfs-utils-1.2.3-39.el6.x86_64
nfs-utils-lib-1.1.5-6.el6.x86_64
nfs4-acl-tools-0.3.3-6.el6.x86_64
​

xxxxxxxxxx
/etc/exports  man 5 exports
​
共享目录        共享选项
/nfs/share      *(ro,sync)
共享主机：
*   ：代表所有主机
192.168.0.0/24：代表共享给某个网段
192.168.0.0/24(rw) 192.168.1.0/24(ro) :代表共享给不同网段
192.168.0.254：共享给某个IP
*.itcast.com:代表共享给某个域下的所有主机
共享选项：
ro：只读
rw：读写
sync：实时同步，直接写入磁盘
async：异步，先缓存在内存再同步磁盘
anonuid：设置访问nfs服务的用户的uid，uid需要在/etc/passwd中存在
anongid：设置访问nfs服务的用户的gid
root_squash ：默认选项 root用户创建的文件的属主和属组都变成nfsnobody,其他人server端是它自己，client端是nobody。
no_root_squash：root用户创建的文件属主和属组还是root，其他人server端是它自己uid，client端是nobody。
all_squash： 不管是root还是其他普通用户创建的文件的属主和属组都是nfsnobody
​
说明：
anonuid和anongid参数和all_squash一起使用。
all_squash表示不管是root还是其他普通用户从客户端所创建的文件在服务器端的拥有者和所属组都是nfsnobody；服务端为了对文件做相应管理，可以设置anonuid和anongid进而指定文件的拥有者和所属组。

需求1：共享本地/share/nfs目录给所有人，以读写方式共享

xxxxxxxxxx
server端：
1. mkdir /share/nfs -p
2. vim /etc/exports
/share/nfs  *(rw)
​
3. 启动服务
service rpcbind restart
service nfs start
​
client端测试：
mkdir /u01
mount.nfs 10.1.1.2:/share/nfs /u01
df -h
...
10.1.1.2:/share/nfs              18G  4.4G   13G  27% /u01  说明挂载成功
​
测试写入：
[root@client ~]# cd /u01
[root@client u01]# ls
file1  file2  file3  file4  file5
[root@client u01]# touch file6
touch: cannot touch `file6': Permission denied      //权限拒绝
​
原因：server端的共享目录权限不够
解决：
[root@server ~]# ll -d /share/nfs/
drwxr-xr-x 2 root root 4096 Apr 20 09:53 /share/nfs/
[root@server ~]# chmod o+w /share/nfs/
​
[root@client u01]# touch file6
[root@client u01]# ls
file1  file2  file3  file4  file5  file6
​
[root@server ~]# ll /share/nfs/
total 0
-rw-r--r-- 1 root      root      0 Apr 20 09:53 file1
-rw-r--r-- 1 root      root      0 Apr 20 09:53 file2
-rw-r--r-- 1 root      root      0 Apr 20 09:53 file3
-rw-r--r-- 1 root      root      0 Apr 20 09:53 file4
-rw-r--r-- 1 root      root      0 Apr 20 09:53 file5
-rw-r--r-- 1 nfsnobody nfsnobody 0 Apr 20 10:03 file6
​

课堂练习：

1. 搭建一个NFS服务，将本机的/nfs/share目录共享给192.168.91.0/24网段和10.1.1.2,10.1.1.3主机，192网段以读写的方式访问，10网段以只读的方式共享

• server端 10.1.1.2

xxxxxxxxxx
1. mkdir /nfs/share 
2. vim /etc/exports
   /nfs/share192.168.91.0/24(rw) 10.1.1.2(ro) 10.1.1.3(ro)

• 客户端挂载到本地/u01目录里

  client端 10.1.1.3

xxxxxxxxxx
​
   1. 创建一个空的目录 挂载点   /u01
   2. mount.nfs 10.1.1.2:/nfs/share /u01
   或者
      mount -t nfs 10.1.1.2:/nfs/share /u01

​

示例1：NFS自动挂载家目录

xxxxxxxxxx
思路：
A主机上：
1. 需要创建相应的用户user1~user3   eg:user1——> /user1(挂载点)
B主机上：
搭建NFS服务，将/nfs/share共享出来
A主机上：
1. 挂载Ｂ主机上的共享目录到指定挂载点上
​
测试验证：
在A主机进行
​
步骤：
环境：
FTP-server：10.1.1.2
NFS-server:10.1.1.3
client:10.1.1.4
​
方法1实现：
FTP-server上完成
1. 创建用户并且指定用户的家目录
[root@ftp-server ~]# mkdir /rhome
[root@ftp-server ~]# useradd -d /rhome/user01 -M user01
[root@ftp-server ~]# useradd -d /rhome/user02 -M user02
[root@ftp-server ~]# useradd -d /rhome/user03 -M user03
​
[root@ftp-server ~]# echo 123|passwd --stdin user01
Changing password for user user01.
passwd: all authentication tokens updated successfully.
[root@ftp-server ~]# echo 123|passwd --stdin user02
Changing password for user user02.
passwd: all authentication tokens updated successfully.
[root@ftp-server ~]# echo 123|passwd --stdin user03
Changing password for user user03.
passwd: all authentication tokens updated successfully.
​
NFS-server操作：
[root@nfs-server ~]# mkdir /data/{user01,user02,user03}     //创建相应的目录
[root@nfs-server ~]# cat /etc/exports 
/data   10.1.1.2(rw)
​
[root@nfs-server ~]# service nfs restart
​
FTP-server端操作：
​
[root@ftp-server ~]# mkdir /rhome/user0{1..3}
[root@ftp-server ~]# mount.nfs 10.1.1.3:/data/user01 /rhome/user01
[root@ftp-server ~]# df -h
Filesystem                      Size  Used Avail Use% Mounted on
/dev/mapper/vg_misshou-lv_root   18G  4.4G   13G  27% /
tmpfs                           491M   76K  491M   1% /dev/shm
/dev/sda1                       485M   35M  426M   8% /boot
/dev/sr0                        4.2G  4.2G     0 100% /iso
.host:/                         489G   30G  459G   7% /mnt/hgfs
10.1.1.3:/data/user01            20G  172M   19G   1% /rhome/user01 //挂载成功
​
client测试验证：
1. 首先测试user01是否能在FTP-server端正常登录：
[root@ftp-server ~]# su - user01 
-bash-4.1$ pwd
/rhome/user01
-bash-4.1$      //这种情况是家不完整
​
家不完整怎么解决：
直接使用当前用户拷贝指定的相关文件：
-bash-4.1$ cp /etc/skel/.bash* .
cp: cannot create regular file `./.bash_logout': Permission denied
cp: cannot create regular file `./.bash_profile': Permission denied
cp: cannot create regular file `./.bashrc': Permission denied
​
原因：NFS-server端共享目录没有写权限
解决：NFS-SERVER端
[root@nfs-server user01]# chmod 1777 /data/ -R
[root@nfs-server user01]# ll
​
补充高级权限：o+t  粘滞位  一般作用在公共的目录上（777）  只能自己管理自己，在该目录下，只有root和文件的创建者可以删除，其他人不可以删除不属于自己的文件
​
[root@client ~]# ll -d /tmp/
drwxrwxrwt. 13 root root 4096 Apr 20 13:56 /tmp/
​
​
-bash-4.1$ cp /etc/skel/.bash* .        //拷贝成功
-bash-4.1$ 
//退出重新登录，家完整了
-bash-4.1$ exit     
logout
[root@ftp-server ~]# su - user01
[user01@ftp-server ~]$ 
​
​
-bash-4.1$ cd /etc/skel
-bash-4.1$ cp .bashrc .bash_logout .bash_profile /home/uu1
​
[root@ftp-server ~]# su - user01
[user01@ftp-server ~]$
​
​
2. 测试客户端访问ftp服务
​
[root@client ~]# ftp 10.1.1.2
Connected to 10.1.1.2 (10.1.1.2).
220 (vsFTPd 2.2.2)
Name (10.1.1.2:root): user01
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (10,1,1,2,71,48).
150 Here comes the directory listing.
226 Directory send OK.
//以上登录成功，没有文件
​
在NFS-server端的/data/user01创建一个测试文件file1，再次查看就可以看到
ftp> ls
227 Entering Passive Mode (10,1,1,2,92,180).
150 Here comes the directory listing.
-rw-r--r--    1 0        0              12 Apr 20 06:53 file1
226 Directory send OK.
//之前已经给/data目录加了1777权限，所以也可以上传文件，如果上传失败请检查目录权限
​
ftp> put install.log
local: install.log remote: install.log
227 Entering Passive Mode (10,1,1,2,143,2).
150 Ok to send data.
226 Transfer complete.
52124 bytes sent in 0.0968 secs (538.39 Kbytes/sec)
ftp> 
-rwxrwxrwt 1 root root    12 Apr 20 14:53 file1
-rw-rw-r-- 1  503  505     0 Apr 20 14:58 file2
-rw-r--r-- 1  503  505 52124 Apr 20 14:58 install.log
​
​
方法2实现：
FTP-SERVER：10.1.1.2
NFS-SERVER:10.1.1.3
client：10.1.1.4
​
步骤：
FTP-server操作：
1. 创建用户
useradd uu1     ——>/home/uu1
useradd uu2     ——>/home/uu2
​
NFS-server操作：
1. 在/data目录里给用户创建相应的目录
mkdir /data/uu1
mkdir /data/uu1
​
2. 给共享目录设置相应的权限
chmod 1777 /data -R
​
3. 发布共享目录
vim /etc/exports
/data   10.1.1.2(rw)
​
4. 重启nfs服务
service nfs restart
​
FTP-server端操作：
uu1用户：
mount.nfs 10.1.1.3:/data/uu1    /home/uu1
​
​
​
​

示例2：实现web集群后端存储

xxxxxxxxxx
NFS-SERVER端：共享目录，并且创建一个首页文件
1. mkdir /share/web -p
2. echo "hello world 我爱你们" > /share/web/index.html
3. vim /etc/exports
/share/web  10.1.1.0/24(ro)
4. 重启服务（nfs）
service nfs restart
或者
[root@nfs-server ~]# exportfs -rv
​
WEB1服务端：
1. 安装httpd软件
2. 挂载nfs-server端的共享目录到/var/www/html
3. 启动服务
​
[root@web1 ~]# rpm -q httpd
httpd-2.2.15-29.el6.centos.x86_64
[root@web1 ~]# ls /var/www/html/
[root@web1 ~]# mount -t nfs 10.1.1.2:/share/web /var/www/html
[root@web1 ~]# df -h
Filesystem                      Size  Used Avail Use% Mounted on
/dev/mapper/vg_misshou-lv_root   18G  4.2G   13G  26% /
tmpfs                           491M   76K  491M   1% /dev/shm
/dev/sda1                       485M   35M  426M   8% /boot
/dev/sr0                        4.2G  4.2G     0 100% /media/CentOS_6.5_Final
10.1.1.2:/share/nfs              18G  4.4G   13G  27% /u01
10.1.1.2:/share/web              18G  4.4G   13G  27% /var/www/html
[root@web1 ~]# ls /var/www/html/
index.html
[root@web1 ~]# service httpd start
Starting httpd: httpd: apr_sockaddr_info_get() failed for web1
httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
                                                           [  OK  ]
​
WEB2服务端：
1. 安装httpd软件
2. 挂载nfs-server端的共享目录到/var/www/html
3. 启动服务
​
​
问题：httpd服务启动不了，报
[root@web2 ~]# service httpd start
Starting httpd: Syntax error on line 292 of /etc/httpd/conf/httpd.conf:
DocumentRoot must be a directory
                                                           [FAILED]
解决：
setenforce 0
​
​
测试验证：
​
windows：
IE：
http://10.1.1.3
http://10.1.1.3
结果：可以看到相同的页面

SAMBA服务（扩展）

课程目标2

• Samba服务器的应用场景及特点
• Samba服务器的搭建与配置
• 基于用户名/密码的企业综合案例

一、samba介绍

• SMB（Server Message Block）协议实现文件共享，也称为CIFS（Common Internet File System ）
• 是Windows和类Unix系统之间共享文件的一种协议
• 客户端主要是Windows；支持多节点同时挂载以及并发写入

• 主要用于windows和Linux下的文件共享、打印共享
• 实现匿名与本地用户文件共享

Samba服务的主要进程：

• smbd进程 控制发布共享目录与权限、负责文件传输 TCP 139 445
• nmbd进程 用于名称解析netbios UDP 137 138 ;基于NETBIOS协议获得计算机名称——>解析为相应IP地址，实现信息通讯

NetBIOS是Network Basic Input/Output System的简称，一般指用于局域网通信的一套API

二、samba服务器搭建

xxxxxxxxxx
[root@smb-server ~]# rpm -aq|grep ^samba
samba-3.6.9-164.el6.x86_64
samba-common-3.6.9-164.el6.x86_64
samba-winbind-3.6.9-164.el6.x86_64
samba-client-3.6.9-164.el6.x86_64
samba-winbind-clients-3.6.9-164.el6.x86_64
samba4-libs-4.0.0-58.el6.rc4.x86_64
​
​
​
​
​

配置文件：

xxxxxxxxxx
/etc/samba/smb.conf
[global]  全局选项
    workgroup = MYGROUP                 定义samba服务器所在的工作组
    server string = Samba Server Version %v         smb服务的描述
    log file = /var/log/samba/log.%m            日志文件
    max log size = 50                   日志的最大大小KB  
    security = user             认证模式：share匿名|user用户密码|server外部服务器用户密码
    passdb backend = tdbsam         密码格式
    load printers = yes         加载打印机
    cups options = raw          打印机选项
[homes]                 局部选项（共享名称）
    comment = Home Directories      描述
    browseable = no      隐藏共享名称
    writable = yes      可读可写
[printers]      共享名称
    comment = All Printers       描述
    path = /var/spool/samba  本地的共享目录
    browseable = no  隐藏
    guest ok = no ——>   public = no  需要帐号和密码访问
    writable = no  ——>  read only =yes 不可写 
    printable = yes      打印选项
​

客户端工具如何使用：

xxxxxxxxxx
[root@client ~]# smbclient -L //10.1.1.2    查看samba服务器的共享名
Enter root's password: 回车       匿名用户查看
Anonymous login successful
​
将zhagnsan本地用户加入到smb数据库中：
[root@smb-server ~]# smbpasswd -a zhangsan
New SMB password:
Retype new SMB password:
Added user zhangsan.
[root@smb-server ~]# pd
pdbedit    pdf2ps     pdfimages  pdfopt     pdftoppm   pdftotext  
pdf2dsc    pdffonts   pdfinfo    pdftohtml  pdftops    
[root@smb-server ~]# pdbedit -L
zhangsan:508:
​
[root@client ~]# smbclient //10.1.1.2/zhangsan -U zhangsan  //指定用户名访问samba服务
Enter zhangsan's password: 
Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.6.9-164.el6]
smb: \> ls
​
​
需求：让匿名用户访问/samba/share共享资源，本地用户不能访问
​
[anon_share]
    path=/samba/share
    public = yes
    writable = yes
​
​
[root@client ~]# smbclient //10.1.1.2/anon_share（共享标签名称）        /匿名用户可以访问
Enter root's password: 
Anonymous login successful
Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.6.9-164.el6]
smb: \> 
​
​
[root@client ~]# smbclient //10.1.1.2/anon_share -U zhangsan    //本地用户可以访问
Enter zhangsan's password: 
Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.6.9-164.el6]
smb: \> ls
​
通过挂载的方式访问：
[root@client ~]# mount.cifs -o user=zhangsan,pass=123 //10.1.1.2/anon_share /u01
​
​
总结：
1. samba服务默认是基于用户名和密码认证的服务
2. samba服务的用户必须是samba服务器上存在的用户，密码必须是samba数据库里的密码
3. 对于发布的共享资源，默认情况下本地用户是可以访问的，匿名用户是否访问看是否打开public=yes
​
​

访问控制：

xxxxxxxxxx
控制读写权限
    writable = yes/no
    readonly = yes/no
​
如果资源可写，但只允许某些用户可写，其他都是只读
write list = admin, root, @staff（用户组）
read list = mary, @students
​
控制访问对象
    valid users = tom mary 
    invalid users = tom
注意：以上两个选项只能存在其中一个
​
网络访问控制：
hosts deny = 192.168.0.   拒绝某个网段
host allow = 192.168.0.254  允许某个IP
hosts deny = all  拒绝所有
hosts allow = 192.168.0. EXCEPT 192.168.0.254  允许某个网段，但拒绝某个单个IP
注意：deny和allow同时存在，allow优先

综合案例：

公司：itcast，有三个部门cw,rs,sc和一个公共区pub，每个部门的资料根据如下需求进行共享： 1、财务部门 /samba/itcast_cw ，cw01财务总监有可读可写权限，财务部门员工可读，boss01对其有管理权限。 2、市场部门 /samba/itcast_sc，市场部门员工可读可写，公司员工可以查询资料，boss02对其有管理权限。 3、HR部门 /samba/itcast_rs ，rs01HR总监可读写，HR部门员工可以对财务部查询，vip用户可以查询 4、休息区 /samba/ticast_pub 自己管理自己的文件

xxxxxxxxxx
步骤：
1. 在服务器上创建相应的目录保存不同部门的资料
mkdir /smb/{cw,rs,sc,pub} -p
2. 创建相应的用户组（方便管理）
groupadd itcast
groupadd cw
groupadd rs
groupadd sc
​
useradd cw01 -g cw -G itcast
useradd cw02 -g cw -G itcast
useradd rs01 -g rs -G itcast
useradd rs02 -g rs -G itcast
useradd sc01 -g sc -G itcast
useradd sc02 -g sc -G itcast
useradd boss01 -g itcast
useradd boss02 -g itcast
​
useradd vip
​
3. 修改相应目录的权限
​
4. 搭建samba服务，共享不同部门的资料
vim /etc/samba/smb.conf
...
[cw]
    path=/smb/cw
    valid users = boss01,@cw,@rs
    write list = cw01,boss01
​
[rs]
    path=/smb/rs
    valid users = vip,@rs
    write list = rs01
​
[sc]
    path=/smb/sc
    valid users = @itcast
    write list = @sc,boss02
​
[pub]
    path=/smb/pub
    valid users = @itcast
    writable = yes
​
5. 将用户加入到samba数据库里
smbpasswd -a cw01
...
​
6. 测试验证
Linux：
windows：
​

总结：

1. ftp 局域网和外网都可以
2. nfs 局域网 挂载方式访问 mount.nfs
3. samba 局域网 直接访问（smbclinet） 挂载的方式

三、综合案例代码参考

xxxxxxxxxx
1. 创建相应的目录用户组
root@smb-server ~]# mkdir /smb/{cw,rs,sc,pub} -p
[root@smb-server ~]# groupadd itcast
[root@smb-server ~]# groupadd cw
[root@smb-server ~]# groupadd rs
[root@smb-server ~]# groupadd sc
[root@smb-server ~]# useradd cw01 -g cw -G itcast
[root@smb-server ~]# useradd cw02 -g cw -G itcast
[root@smb-server ~]# useradd rs01 -g rs -G itcast
[root@smb-server ~]# useradd rs02 -g rs -G itcast
[root@smb-server ~]# useradd sc01 -g sc -G itcast
[root@smb-server ~]# useradd sc02 -g sc -G itcast
[root@smb-server ~]# useradd boss01 -g itcast
[root@smb-server ~]# useradd boss02 -g itcast
[root@smb-server ~]# useradd vip
​
2. 搭建samba服务，修改配置文件，发布共享目录
[root@smb-server ~]# tail -19 /etc/samba/smb.conf 
[cw]
    path=/smb/cw
    valid users = boss01,@cw,@rs
    write list = cw01,boss01
​
[rs]
    path=/smb/rs
    valid users = vip,@rs
    write list = rs01
​
[sc]
    path=/smb/sc
    valid users = @itcast
    write list = @sc,boss02
​
[pub]
    path=/smb/pub
    valid users = @itcast,vip   //是否让vip查看公共资源，根据需求
    writable = yes
​
​
3. 将用户加入到smb数据库里，设密码
[root@smb-server ~]# smbpasswd -a cw01
New SMB password:
Retype new SMB password:
Added user cw01.
[root@smb-server ~]# smbpasswd -a cw02
New SMB password:
Retype new SMB password:
Added user cw02.
[root@smb-server ~]# smbpasswd -a rs01
New SMB password:
Retype new SMB password:
Added user rs01.
[root@smb-server ~]# smbpasswd -a rs02
New SMB password:
Retype new SMB password:
Added user rs02.
[root@smb-server ~]# smbpasswd -a sc01
New SMB password:
Retype new SMB password:
Added user sc01.
[root@smb-server ~]# smbpasswd -a sc02
New SMB password:
Retype new SMB password:
Added user sc02.
[root@smb-server ~]# smbpasswd -a boss01
New SMB password:
Retype new SMB password:
Added user boss01.
[root@smb-server ~]# smbpasswd -a boss02
New SMB password:
Retype new SMB password:
Added user boss02.
[root@smb-server ~]# smbpasswd -a vip
New SMB password:
Retype new SMB password:
Added user vip.
​
4. 启动服务
[root@smb-server ~]# service nmb start
Starting NMB services:                                     [  OK  ]
[root@smb-server ~]# service smb start
Starting SMB services:                                     [  OK  ]
[root@smb-server ~]# 
​
5. 测试验证：
[root@client ~]# smbclient //10.1.1.2/cw -U cw01
Enter cw01's password: 
Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.6.9-164.el6]
smb: \> ls
  .                                   D        0  Sat Apr 21 10:12:11 2018
  ..                                  D        0  Sat Apr 21 10:12:11 2018
​
        35418 blocks of size 524288. 25177 blocks available
smb: \> mkdir aaa       //创建失败
NT_STATUS_ACCESS_DENIED making remote directory \aaa
​
原因：smb服务端/smb/cw目录没有写权限；查看smb服务的相关目录权限：
[root@smb-server ~]# ll -d /smb/
drwxr-xr-x. 6 root root 4096 Apr 21 10:12 /smb/
​
[root@smb-server ~]# ll -d /smb/*
drwxr-xr-x. 2 root root 4096 Apr 21 10:12 /smb/cw
drwxr-xr-x. 2 root root 4096 Apr 21 10:12 /smb/pub
drwxr-xr-x. 2 root root 4096 Apr 21 10:12 /smb/rs
drwxr-xr-x. 2 root root 4096 Apr 21 10:12 /smb/sc
​
6. 统一更改权限：原则权限最小化
//权限最小化
[root@smb-server ~]# chmod 700 -R /smb
[root@smb-server ~]# chgrp itcast /smb
[root@smb-server ~]# chgrp cw /smb/cw
[root@smb-server ~]# chgrp rs /smb/rs
[root@smb-server ~]# chgrp sc /smb/sc
[root@smb-server ~]# chgrp itcast /smb/pub
​
​
[root@smb-server ~]# ll -d /smb/
drwx------. 6 root itcast 4096 Apr 21 10:12 /smb/
[root@smb-server ~]# ll -d /smb/*
drwx------. 2 root cw     4096 Apr 21 10:12 /smb/cw
drwx------. 2 root itcast 4096 Apr 21 10:12 /smb/pub
drwx------. 2 root rs     4096 Apr 21 10:12 /smb/rs
drwx------. 2 root sc     4096 Apr 21 10:12 /smb/sc
​
//根据需求增加权限
[root@smb-server ~]# setfacl -m g:itcast:rx /smb
[root@smb-server ~]# setfacl -m g:cw:rwx /smb/cw
[root@smb-server ~]# setfacl -m g:rs:rwx /smb/rs
[root@smb-server ~]# setfacl -m g:sc:rwx /smb/sc
[root@smb-server ~]# chmod 1777 /smb/pub/
[root@smb-server ~]# 
[root@smb-server ~]# setfacl -m u:vip:rx /smb/
[root@smb-server ~]# setfacl -m u:vip:rx /smb/rs/
​
[root@smb-server ~]# id boss01
uid=506(boss01) gid=500(itcast) groups=500(itcast)
[root@smb-server ~]# id boss02
uid=507(boss02) gid=500(itcast) groups=500(itcast)
[root@smb-server ~]# setfacl -m u:boss01:rwx /smb/cw
[root@smb-server ~]# setfacl -m g:rs:rx /smb/cw
[root@smb-server ~]# setfacl -m u:boss02:rwx /smb/sc
​
​
7. 继续测试验证
​
[root@client ~]# smbclient //10.1.1.2/cw -U cw01
Enter cw01's password: 
Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.6.9-164.el6]
smb: \> ls
  .                                   D        0  Sat Apr 21 10:12:11 2018
  ..                                  D        0  Sat Apr 21 10:12:11 2018
​
        35418 blocks of size 524288. 25177 blocks available
smb: \> mkdir aaa
smb:\>  创建成功
​
//boss01可以读写
[root@client ~]# smbclient //10.1.1.2/cw -U boss01
Enter boss01's password: 
Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.6.9-164.el6]
smb: \> mkdir bbb
smb: \> 
​
//cw02只能读不能写
[root@client ~]# smbclient //10.1.1.2/cw -U cw02
Enter cw02's password: 
Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.6.9-164.el6]
smb: \> ls
  .                                   D        0  Sat Apr 21 10:48:15 2018
  ..                                  D        0  Sat Apr 21 10:12:11 2018
  aaa                                 D        0  Sat Apr 21 10:45:23 2018
  bbb                                 D        0  Sat Apr 21 10:48:15 2018
​
        35418 blocks of size 524288. 25177 blocks available
smb: \> mkdir ccc
NT_STATUS_MEDIA_WRITE_PROTECTED making remote directory \ccc
smb: \> 
​
//人事部门可以查看财务部门的资料，但是不能写
[root@client ~]# smbclient //10.1.1.2/cw -U rs01
Enter rs01's password: 
Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.6.9-164.el6]
smb: \> ls
  .                                   D        0  Sat Apr 21 10:48:15 2018
  ..                                  D        0  Sat Apr 21 10:12:11 2018
  aaa                                 D        0  Sat Apr 21 10:45:23 2018
  bbb                                 D        0  Sat Apr 21 10:48:15 2018
​
        35418 blocks of size 524288. 25177 blocks available
smb: \> mkdir ccc
NT_STATUS_MEDIA_WRITE_PROTECTED making remote directory \ccc
smb: \> 
​
//cw01没有权限访问rs部门的资料，直接拒绝
[root@client ~]# smbclient //10.1.1.2/rs -U cw01
Enter cw01's password: 
Domain=[MYGROUP] OS=[Unix] Server=[Samba 3.6.9-164.el6]
tree connect failed: NT_STATUS_ACCESS_DENIED
​
剩下的自己测试，测试有问题，去看目录和服务的权限
...
​