关于Linux上SAMBA服务的权限问题(多用户挂载)

简介：本文探讨关于Samba服务在客户端进行多用户挂载的问题,以及对cifscreds命令的使用效果.

安装配置：

(服务器配置要求如下,配置过程在本博客中<关于Linux上SAMBA服务的权限问题(普通挂载)>,本文省略配置过程)

在客户端desktop0配置进行多用户挂载：

1.安装cifs-utils软件包以支持samba的挂载(否则即使挂载没有报错也无法正常使用)

[root@desktop0 ~]# yum -y install cifs-utils

2.创建挂载点

[root@desktop0 ~]# mkdir /mnt/multiuser

3.把挂载条目写入/etc/fstab以使开机自动挂载

[root@desktop0 ~]# vim /etc/fstab
//server0/common    /mnt/multiuser    cifs    credentials=/root/smb.cred,multiuser，sec=ntlmssp,_netdev,defaults    0 0

注解：
- credentials=/root/smb.cred 用于指定包含挂载用户信息文件,此用户一般是samba服务器里对共享目录具有较低权限的用户(本文使用的rob用户对共享目录权限为只读),文件包含username,password
- multiuser 关键选项,用于指定使用多用户挂载
- sec=ntlmssp 指定认证方式(kernel3.8之后是默认选项)
- _netdev 关键选项,否则系统会启动失败;不写入/etc/fstab文件时，次选项可省略
- defaults 用于指定挂载后的默认属性，但权限还受samba服务器约束

4.创建并编写/etc/smb.cred文件,出于安全性考虑应该修改此文件的权限为600

[root@desktop0 ~]# vim /root/smb.cred
username=rob
password=redhat
[root@desktop0 ~]# chmod 600 /root/smb.cred

5.执行挂载操作

[root@desktop0 ~]# mount -a
[root@desktop0 ~]# mount | grep /mnt/multiuser
//server0/common on /mnt/multiuser type cifs (rw,relatime,vers=1.0,sec=ntlmssp,cache=strict,multiuser,domain=SERVER0,uid=0,noforceuid,gid=0,noforcegid,addr=172.25.0.11,unix,posixpaths,serverino,acl,noperm,rsize=1048576,wsize=65536,actimeo=1)

6.进入挂载点进行权限测试

[root@desktop0 ~]# cd /mnt/multiuser/
[root@desktop0 multiuser]# touch 11
touch: cannot touch ‘11’: Permission denied

结论是：

- 文件的挂载用户是rob,故只有只读权限,没有写入权限

7.在root用户下使用cifscreds命令把指定用户的用户名和密码加入内核密钥环

[root@desktop0 ~]# cifscreds add server0 -u brian
Password:redhat
[root@desktop0 ~]# cd /mnt/multiuser/
[root@desktop0 multiuser]# touch 22
touch: cannot touch ‘22’: Permission denied

结论是：

- 由于一开始是root用户以rob用户的角色进行目录的挂载(root的环境变量已改变)
- 再在root用户下使用cifscreds命令把指定用户的用户名和密码加入内核密钥环会不生效

8.在其他用户下使用cifscreds命令把指定用户的用户名和密码加入内核密钥环

[root@desktop0 ~]# su - user1
[user1@desktop0 ~]$ cifscreds add server0 -u brian
Password:
[user1@desktop0 ~]$ cd /mnt/multiuser/
[user1@desktop0 multiuser]$ touch 33
#####在user1用户下把brian用户的用户名和密码加入内核密钥环后成功获得写入权限#####成功
[user1@desktop0 multiuser]$ cd
[user1@desktop0 ~]$ cifscreds clearall
[user1@desktop0 ~]$ cifscreds add server0 -u rob
Password:
[user1@desktop0 ~]$ cd /mnt/multiuser/
[user1@desktop0 multiuser]$ touch 44
#####在user1用户下把rob用户的用户名和密码加入内核密钥环后效果并没有改变,还是有写入权限,正常应该只有读权限#####失败,没有生效

结论是：

- 切换到其他用户后(除root外),第一次使用cifscreds命令把brian(rw)的用户名和密码加入内核密钥环,成功地获得了brian(rw)所对应的权限
- 第二次使用cifscreds命令把rob(ro)的用户名和密码加入内核密钥环,并没有获得rob(ro)所对应的权限,此时实际权限还是第一次加入密钥环的brian用户所对应的权限
- 经实验,使用cifscreds clearall 命令清除内核密钥环的数据后不会马上生效,大概5分钟后才回清除,此后可以成功把其他用户加入到内核密钥环中并生效
- 切换到其他用户(如:su - user2),第一次把指定的samba用户名和密码加入到内核密钥环中即可成功,但是第二次加入内核密钥环的信息会不生效(解决方法如上一条结论)