本文介绍如何通过Samba服务实现NFS文件系统以SMB协议进行文件共享，并通过POSIX ACL控制权限。

前提条件

已使用NFSv3协议挂载文件系统，详情请参见挂载NFS文件系统。

背景信息

目前有客户存在以下使用场景：在服务器上挂载NFS文件系统后，使用Samba服务将此文件系统以SMB协议共享给其他Windows用户使用。在Samba服务中，可以创建用户并拥有Windows端的用户名和密码，也拥有Linux端的用户名（与Windows端的用户名相同）和密码（可以与Windows端不同）。Samba端可以设置valid users字段控制哪些用户/群组可以访问或者读写该文件系统。对于文件级别的访问控制，Samba服务会将POSIX ACL转化为SMB权限，来控制某个用户/群组的访问权限，具体介绍可参见Setting up a Share Using POSIX ACLs。

说明 目前，ACL功能只支持华北 3（张家口）、华北 5（呼和浩特）、亚太东南 2（悉尼）、亚太东南 3（吉隆坡）和美国西部 1（硅谷）地域，并且需要通过工单提交申请后才能使用。

操作步骤

本步骤以CentOS操作系统为例，介绍如何设置POSIX ACL，并以Samba进行输出。其他的Linux操作系统的流程类似，命令稍有不同。

1. 安装Samba服务。

使用以下命令安装Samba服务端，具体操作可参见Setup file server on centos 7。

sudo yum install -y samba samba-common

2. 创建Samba用户。

本文假设创建普通用户player，属于普通用户群组players；管理员admini，属于管理员群组adminis；另外再创建一个用户anonym，属于anonym_group群组。

• 创建用户和群组。

sudo useradd player
sudo groupadd players
sudo usermod -g players player
sudo useradd admini
sudo groupadd adminis
sudo usermod -g adminis admini
sudo useradd anonym
sudo groupadd anonym_group
sudo usermod -g anonym_group anonym

• 为Samba用户创建SMB挂载密码。

sudo smbpasswd -a player
sudo smbpasswd -a admini
sudo smbpasswd -a anonym

3. 配置smb.conf配置文件。

安装Samba完成后，/etc/samba/smb.conf是默认的配置文件。打开/etc/samba/smb.conf，进行如下配置，重要参数说明如下所示，更多smb.conf配置选项请参见The configuration file for the Samba suite。

• path = /mnt/nfs3：/mnt/nfs3为挂载的目标地址，请根据实际情况替换。
• valid users：用于控制可以访问文件系统的用户或群组，请根据实际情况替换。

[global]
   server string = Samba Alibaba NAS NFS Server
   server role = standalone server
   min protocol = SMB2_10
   log file = /var/log/samba/%m
   log level = 2
   valid users = @players, @adminis, @anonym_group
   writable = yes
[nfs3]
   comment = Secure File Server Share
   path =  /mnt/nfs3

4. 启动Samba服务端Smbd。

sudo systemctl enable smb.service
sudo systemctl enable nmb.service

您也可以执行以下命令启动Samba服务端Smbd。

sudo systemctl restart smb.service
sudo systemctl restart nmb.service

5. 在Windows系统中验证Samba服务。

使用net use命令挂载Samba nfsv3文件系统。

net use * \\samba-IP\nfs3 <password> /user:<user>

挂载成功后，player、admini、anonym三个用户都可以访问该文件系统，并创建和读写目录/文件。

6. 对NAS NFSv3文件系统设置POSIX ACL权限。

sudo umask 777
sudo mkdir dir0
sudo setfacl -m g:players:r-x dir0
sudo setfacl -m g:adminis:rwx dir0
sudo setfacl -m u::--- dir0
sudo setfacl -m g::--x dir0
sudo setfacl -m o::--- dir0
sudo setfacl -d -m g:players:r-x dir0
sudo setfacl -d -m g:adminis:rwx dir0
sudo setfacl -d -m u::--- dir0
sudo setfacl -d -m g::--x dir0
sudo setfacl -d -m o::--- dir0

7. 在Windows系统中验证ACL设置结果。

• 使用admini身份挂载Samba nfsv3文件系统，在目录dir0下可以创建文件和子目录。
• 使用player身份挂载Samba nfsv3文件系统，在目录dir0下无法创建文件和子目录，但可以打开及读取文件和子目录。
• 使用anonym身份挂载Samba nfsv3文件系统，无法访问目录dir0下的文件和子目录。

Samba + NAS POSIX ACL的特性

• NFS文件系统的POSIX ACL会被转化为SMB ACL在Windows系统的安全标签中显示。

• 可以在SMB端设置SMB ACL并转化为POSIX ACL存入NFS文件系统。

• 如果SMB ACL无法转化为POSIX ACL，例如在POSIX ACL中没有Deny，或者权限超过了rwx的表达能力，修改会被忽略，不起作用。

• 建议只在NFS端设置ACL，SMB端只作为客户端使用。

• NAS NFSv3不支持锁，如果SMB端和NFS端同时有多个客户端进行读写操作，可能有一致性问题。如果有这类需求请使用Samba + NAS NFSv4 ACL。