Creați un director partajat pe Samba AD DC și mapați către clienții Windows/Linux - Partea 7
Acest tutorial vă va ghida despre cum să creați un director partajat pe sistemul Samba AD DC, să mapați acest volum partajat la clienții Windows integrați în domeniu prin GPO și să gestionați permisiunile de partajare din perspectiva controlerului de domeniu Windows.
Acesta va acoperi, de asemenea, cum să accesați și să montați partajarea fișierelor de pe o mașină Linux înscrisă în domeniu folosind un cont de domeniu Samba4.
Cerințe:
- Creați o infrastructură Active Directory cu Samba4 pe Ubuntu
Pasul 1: Creați Samba File Share
1. Procesul de creare a unui share pe Samba AD DC este o sarcină foarte simplă. Mai întâi creați un director pe care doriți să îl partajați prin protocolul SMB și adăugați permisiunile de mai jos pe sistemul de fișiere pentru a permite unui cont de administrator Windows AD DC să modifice permisiunile de partajare în funcție de permisiunile pe care ar trebui să le vadă clienții Windows.
Presupunând că noua partajare de fișiere din AD DC ar fi directorul /nas, rulați comenzile de mai jos pentru a atribui permisiunile corecte.
# mkdir /nas # chmod -R 775 /nas # chown -R root:"domain users" /nas # ls -alh | grep nas
2. După ce ați creat directorul care va fi exportat ca partaj de la Samba4 AD DC, trebuie să adăugați următoarele instrucțiuni în fișierul de configurare samba pentru a face cota disponibilă prin protocolul SMB.
# nano /etc/samba/smb.conf
Mergeți în partea de jos a fișierului și adăugați următoarele rânduri:
[nas] path = /nas read only = no
3. Ultimul lucru pe care trebuie să-l faceți este să reporniți demonul Samba AD DC pentru a aplica modificările lansând comanda de mai jos:
# systemctl restart samba-ad-dc.service
Pasul 2: Gestionați permisiunile Samba Share
4. Deoarece accesăm acest volum partajat din Windows, utilizând conturi de domeniu (utilizatori și grupuri) care sunt create pe Samba AD DC (partaja nu este menită să fie accesat de utilizatorii sistemului Linux).
Procesul de gestionare a permisiunilor se poate face direct din Windows Explorer, în același mod în care permisiunile sunt gestionate pentru orice folder din Windows Explorer.
Mai întâi, conectați-vă la computerul Windows cu un cont Samba4 AD cu privilegii administrative pe domeniu. Pentru a accesa partajarea din Windows și a seta permisiunile, introduceți adresa IP sau numele gazdei sau FQDN-ul mașinii Samba AD DC în câmpul de cale Windows Explorer, precedat de două bare oblice inverse, iar partajarea ar trebui să fie vizibilă.
\\adc1 Or \2.168.1.254 Or \\adc1.tecmint.lan
5. Pentru a modifica permisiunile, faceți clic dreapta pe partajare și alegeți Proprietăți. Navigați la fila Securitate și continuați cu modificarea utilizatorilor de domeniu și a permisiunilor de grup în consecință. Folosiți butonul Avansat pentru a regla permisiunile.
Utilizați captura de ecran de mai jos ca un extras despre cum să reglați permisiunile pentru anumite conturi autentificate Samba AD DC.
6. O altă metodă pe care o puteți folosi pentru a gestiona permisiunile de partajare este de la Gestionare computer -> Conectare la alt computer.
Navigați la Partajări, faceți clic dreapta pe partajarea pentru care doriți să modificați permisiunile, alegeți Proprietăți și treceți la fila Securitate. De aici puteți modifica permisiunile în orice mod doriți, așa cum este prezentat în metoda anterioară, folosind permisiunile de partajare a fișierelor.
Pasul 3: Hartați partajarea fișierelor Samba prin GPO
7. Pentru a monta automat partajarea fișierelor samba exportată prin intermediul domeniului Politica de grup, mai întâi pe o mașină cu instrumente RSAT instalate, deschideți utilitarul AD UC, faceți clic dreapta pe numele domeniului dvs. și apoi alegeți Nou -> Dosar partajat.
8. Adăugați un nume pentru volumul partajat și introduceți calea de rețea în care se află partajarea dvs., așa cum este ilustrat în imaginea de mai jos. Apăsați pe OK când ați terminat, iar distribuirea ar trebui să fie acum vizibilă în planul din dreapta.
9. Apoi, deschideți consola Gestionarea politicii de grup, extindeți-vă la scriptul Politica de domeniu implicită pentru domeniul dvs. și deschideți fișierul pentru editare.
În Editor GPM, navigați la Configurație utilizator -> Preferințe -> Setări Windows și faceți clic dreapta pe Hărți Drive și alegeți Nou -> Drive mapat.
10. În fereastra nouă, căutați și adăugați locația rețelei pentru partajare apăsând butonul din dreapta cu trei puncte, bifați caseta de selectare Reconectați, adăugați o etichetă pentru această partajare, alegeți litera pentru această unitate și apăsați butonul OK pentru a salva și a aplica configurația.
11. În cele din urmă, pentru a forța și aplica modificările GPO pe computerul dvs. local fără a reporni sistemul, deschideți un Prompt de comandă și executați următoarele comanda.
gpupdate /force
12. După ce politica a fost aplicată cu succes pe computer, deschideți Windows Explorer și volumul rețelei partajate ar trebui să fie vizibil și accesibil, în funcție de permisiunile pe care le-ați acordat cota la pașii anteriori.
Partajarea va fi vizibilă pentru alți clienți din rețeaua dvs. după repornirea sau reconectarea la sistemele lor, dacă politica de grup nu va fi forțată din linia de comandă.
Pasul 4: Accesați volumul partajat Samba de la clienții Linux
13. Utilizatorii Linux de pe computere care sunt înscrise în Samba AD DC pot accesa sau monta partajarea la nivel local, autentificându-se în sistem cu un cont Samba.
În primul rând, trebuie să se asigure că următorii clienți și utilitare samba sunt instalați pe sistemele lor prin lansarea comenzii de mai jos.
$ sudo apt-get install smbclient cifs-utils
14. Pentru a lista acțiunile exportate pe care le oferă domeniul dvs. pentru o anumită mașină de control de domeniu, utilizați comanda de mai jos:
$ smbclient –L your_domain_controller –U% or $ smbclient –L \\adc1 –U%
15. Pentru a vă conecta interactiv la o partajare samba din linia de comandă cu un cont de domeniu, utilizați următoarea comandă:
$ sudo smbclient //adc/share_name -U domain_user
Pe linia de comandă puteți lista conținutul partajării, puteți descărca sau încărca fișiere în partajare sau puteți efectua alte sarcini. Utilizare ? pentru a lista toate comenzile smbclient disponibile.
16. Pentru a monta o partajare samba pe o mașină Linux, utilizați comanda de mai jos.
$ sudo mount //adc/share_name /mnt -o username=domain_user
Înlocuiți gazdă, numele partajării, punctul de montare și utilizatorul de domeniu în consecință. Utilizați comanda de montare transmisă cu grep pentru a filtra numai după expresia CIF.
Ca câteva concluzii finale, partajările configurate pe un Samba4 AD DC vor funcționa numai cu listele de control al accesului Windows (ACL), nu cu ACL-uri POSIX.
Configurați Samba ca membru de domeniu cu partajări de fișiere pentru a obține alte capabilități pentru o partajare de rețea. De asemenea, pe un controler de domeniu suplimentar, configurați demonul Windbindd – Pasul doi – înainte de a începe să exportați partajări de rețea.