Linux下Samba多用户权限配置方法

本文深入剖析了Linux下Samba多用户权限与部门访问控制的核心逻辑：valid users仅负责共享登录准入，真正的目录级权限管控完全依赖Linux文件系统权限（chown/chmod/setfacl）与Samba用户和系统用户的严格同名映射；文章直击常见权限混乱的根源——物理路径权限设置不当、默认ACL缺失、用户归属错位，并以PM/TS部门隔离为例，手把手演示如何通过专用系统组、setgid目录、精细化ACL（含默认规则）及multiuser挂载机制，实现管理员全控、普通用户自主操作不越界、跨部门彻底隔离的生产级权限体系，同时点明三个极易被忽视却导致80%失败的实操陷阱，助你避开“配置看似正确却权限失效”的典型坑。

直接说结论：Samba 的 valid users 只管“能不能登录共享”，不管“能进哪个子目录”；真正起作用的是 Linux 文件系统权限（chown/chmod/setfacl）和 Samba 用户归属的严格对齐。

为什么改了 valid users 还是权限混乱

常见现象：给 PM 组配了 valid users = @pmgroup，TS 组配了 @tsgroup，但 TS 用户仍能删 PM 目录下的文件，或进不去自己该有的子目录。

根本原因：smb.conf 里一个 [pm-share] 共享项，底层只映射到一个物理路径（比如 /srv/samba/pm）。Samba 认证通过后，所有访问都走这个路径的 Linux 权限检查。如果 /srv/samba/pm 的属组是 root、权限是 755，那只要用户属于 valid users 列表，就都能读——和你预想的“仅 PM 组可写”完全脱节。

• valid users 是门禁卡，只决定“能否刷卡进门”
• chown + chmod + setfacl 才是房间里的锁、门牌和钥匙分配
• 必须为每个权限层级建独立系统组（如 pmadmin、pmuser、tsadmin），并让 Samba 用户归属准确

怎么设置部门隔离的物理目录权限

以 PM 部门为例，需同时满足：管理员可全控、普通用户可新建/改自己文件、不能动别人或管理员的文件、TS 用户完全进不来。

关键不是靠 smb.conf 写一堆 valid users，而是让目录本身“拒绝外人”。操作分三步：

• 创建专用组：groupadd pmadmin、groupadd pmuser
• 设目录属主和基础权限：chown pmadmin:pmadmin /srv/samba/pm，然后 chmod 2770 /srv/samba/pm（2 是 setgid，确保新文件继承组）
• 用 setfacl 补充细粒度规则：

  sudo setfacl -m u:pmadmin:rwx /srv/samba/pm<br>sudo setfacl -m g:pmuser:rwx /srv/samba/pm<br>sudo setfacl -m o:--- /srv/samba/pm<br>sudo setfacl -d -m u:pmadmin:rwx /srv/samba/pm<br>sudo setfacl -d -m g:pmuser:rw- /srv/samba/pm<br>sudo setfacl -d -m o:--- /srv/samba/pm

  其中 -d 是默认 ACL，控制后续新建文件/目录的权限

如何让不同部门用户挂载后拥有对应权限

客户端用 mount -t cifs 挂载时，默认以发起挂载的本地用户身份访问，容易出现“root 挂载后所有人都是 root 权限”的问题。解决依赖两个关键点：

• 服务端必须启用 multiuser 支持：在 smb.conf 的 [global] 段加 usershare allow guests = no 和 security = user，确保每个连接走独立凭证
• 客户端挂载时必须带 multiuser 和 credentials= 参数，并用 cifscreds 注入具体用户凭据：

  mount -t cifs //server/pm /mnt/pm -o credentials=/etc/smb.cred,multiuser,sec=ntlmssp,_netdev<br>cifscreds add server -u pmuser1

  否则即使配置再细，实际访问时也全按挂载用户（如 root）的 uid 去查服务端权限
• 务必确认客户端已安装 cifs-utils（RHEL/CentOS：yum install cifs-utils；Ubuntu：apt install cifs-utils），缺它会导致挂载无报错但权限失效

最容易被忽略的三个坑

实操中 80% 的权限问题出在这三处，不是配置写错了，而是漏了它们：

• setfacl -d 忘加：新上传的文件权限回归默认（通常是 644），导致普通用户无法修改自己文件——ACL 默认规则不生效，等于白配
• 服务端 smbpasswd -a 用户没和系统用户同名：Samba 用户 pmuser1 对应的系统用户必须存在且同名，否则 chown pmuser1:pmuser /path 就没意义
• 客户端挂载后没清旧会话：Windows 上常因缓存旧凭证导致“明明输对密码却提示拒绝访问”，得先执行 net use * /delete 再重试

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《Linux下Samba多用户权限配置方法》文章吧，也可关注golang学习网公众号了解相关技术文章。