Wyszukiwanie w witrynie

Utwórz katalog współdzielony w Samba AD DC i mapuj na klientów Windows/Linux — część 7

W tym samouczku dowiesz się, jak utworzyć współdzielony katalog w systemie Samba AD DC, zmapować ten wolumen współdzielony na klientów Windows zintegrowanych z domeną za pośrednictwem obiektu GPO i zarządzać uprawnieniami udziału z perspektywy kontrolera domeny Windows.

Omówi także sposób uzyskiwania dostępu i montowania udziału plików z komputera z systemem Linux zarejestrowanego w domenie przy użyciu konta domeny Samba4.

Wymagania:

  1. Utwórz infrastrukturę Active Directory za pomocą Samby4 na Ubuntu

Krok 1: Utwórz udział plików Samby

1. Proces tworzenia udziału w Samba AD DC jest bardzo prostym zadaniem. Najpierw utwórz katalog, który chcesz udostępnić za pośrednictwem protokołu SMB i dodaj poniższe uprawnienia do systemu plików, aby umożliwić kontu administratora Windows AD DC modyfikowanie uprawnień udostępniania zgodnie z uprawnieniami, jakie powinni widzieć klienci Windows.

Zakładając, że nowym udziałem plików w AD DC będzie katalog /nas, uruchom poniższe polecenia, aby przypisać odpowiednie uprawnienia.


mkdir /nas
chmod -R 775 /nas
chown -R root:"domain users" /nas
ls -alh | grep nas

2. Po utworzeniu katalogu, który zostanie wyeksportowany jako udział z Samba4 AD DC, musisz dodać następujące instrukcje do pliku konfiguracyjnego samby, aby udział dostępny poprzez protokół SMB.


nano /etc/samba/smb.conf

Przejdź na dół pliku i dodaj następujące wiersze:


[nas]
	path = /nas
	read only = no

3. Ostatnią rzeczą, którą musisz zrobić, to zrestartować demona Samba AD DC, aby zastosować zmiany, wydając poniższe polecenie:


systemctl restart samba-ad-dc.service

Krok 2: Zarządzaj uprawnieniami do udostępniania Samby

4. Ponieważ dostęp do tego udostępnionego woluminu uzyskujemy z systemu Windows, korzystamy z kont domeny (użytkowników i grup) utworzonych w Samba AD DC (udział nie jest przeznaczony do do których mają dostęp użytkownicy systemu Linux).

Proces zarządzania uprawnieniami można przeprowadzić bezpośrednio z Eksploratora Windows, w ten sam sposób, w jaki zarządza się uprawnieniami dla dowolnego folderu w Eksploratorze Windows.

Najpierw zaloguj się na komputerze z systemem Windows za pomocą konta Samba4 AD z uprawnieniami administracyjnymi w domenie. Aby uzyskać dostęp do udziału z poziomu systemu Windows i ustawić uprawnienia, wpisz adres IP, nazwę hosta lub nazwę FQDN komputera Samba AD DC w polu ścieżki Eksploratora Windows, poprzedzony dwoma ukośnikami, a udział powinien być widoczny.


\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Aby zmodyfikować uprawnienia, kliknij udział prawym przyciskiem myszy i wybierz Właściwości. Przejdź do karty Bezpieczeństwo i kontynuuj odpowiednią zmianę uprawnień użytkowników domeny i grup. Użyj przycisku Zaawansowane, aby dostosować uprawnienia.

Użyj poniższego zrzutu ekranu jako fragmentu dostrajania uprawnień dla określonych uwierzytelnionych kont Samba AD DC.

6. Inną metodą zarządzania uprawnieniami do udostępniania jest Zarządzanie komputerem -> Połącz z innym komputerem.

Przejdź do Udostępnienia, kliknij prawym przyciskiem myszy udział, dla którego chcesz zmodyfikować uprawnienia, wybierz Właściwości i przejdź do karty Bezpieczeństwo. Stąd możesz zmieniać uprawnienia w dowolny sposób, tak jak pokazano w poprzedniej metodzie, korzystając z uprawnień do udostępniania plików.

Krok 3: Zmapuj udział plików Samby za pośrednictwem obiektu GPO

7. Aby automatycznie zamontować wyeksportowany udział plików samby poprzez Zasady grupy domeny, najpierw na komputerze z zainstalowanymi narzędziami RSAT otwórz narzędzie AD UC, kliknij prawym przyciskiem myszy nazwę swojej domeny, a następnie wybierz Nowy -> Folder współdzielony.

8. Dodaj nazwę udostępnionego woluminu i wprowadź ścieżkę sieciową, w której znajduje się Twój udział, jak pokazano na poniższym obrazku. Kiedy skończysz, naciśnij OK, a udostępnienie powinno być teraz widoczne na prawej płaszczyźnie.

9. Następnie otwórz konsolę Zarządzanie zasadami grupy, rozwiń skrypt Domyślne zasady domeny swojej domeny i otwórz plik do edycji.

W Edytorze GPM przejdź do Konfiguracja użytkownika -> Preferencje -> Ustawienia systemu Windows i kliknij prawym przyciskiem myszy Mapy dysków i wybierz Nowy -> Zmapowany dysk.

10. W nowym oknie wyszukaj i dodaj lokalizację sieciową udziału, naciskając prawy przycisk z trzema kropkami, zaznacz pole wyboru Połącz ponownie, dodaj etykietę dla tego udziału, wybierz literę tego dysku i naciśnij przycisk OK, aby zapisać i zastosować konfigurację.

11. Na koniec, aby wymusić i zastosować zmiany w GPO na komputerze lokalnym bez ponownego uruchamiania systemu, otwórz Wiersz poleceń i uruchom następujące polecenie Komenda.


gpupdate /force

12. Po pomyślnym zastosowaniu zasad na swoim komputerze otwórz Eksploratora Windows, a udostępniony wolumin sieciowy powinien być widoczny i dostępny, w zależności od uprawnień, które przyznałeś udział w poprzednich krokach.

Udział będzie widoczny dla innych klientów w Twojej sieci po ich ponownym uruchomieniu lub ponownym zalogowaniu się do swoich systemów, jeśli zasady grupy nie zostaną wymuszone z wiersza poleceń.

Krok 4: Uzyskaj dostęp do wolumenu współdzielonego Samby z klientów Linux

13. Użytkownicy Linuksa z komputerów zarejestrowanych w Samba AD DC mogą również uzyskać dostęp do udziału lub zamontować go lokalnie, uwierzytelniając się w systemie za pomocą konta Samba.

Najpierw muszą upewnić się, że w ich systemach zainstalowano następujących klientów Samby i narzędzia, wydając poniższe polecenie.


sudo apt-get install smbclient cifs-utils

14. Aby wyświetlić listę wyeksportowanych udziałów, które Twoja domena zapewnia dla konkretnego komputera kontrolera domeny, użyj poniższego polecenia:


smbclient –L your_domain_controller –U%
or
smbclient –L \\adc1 –U%

15. Aby interaktywnie połączyć się z udziałem samby z wiersza poleceń za pomocą konta domeny, użyj następującego polecenia:


sudo smbclient //adc/share_name -U domain_user

W wierszu poleceń możesz wyświetlić zawartość udziału, pobrać lub przesłać pliki do udziału lub wykonać inne zadania. Używać ? aby wyświetlić listę wszystkich dostępnych poleceń smbclient.

16. Aby zamontować udział samby na komputerze z systemem Linux, użyj poniższego polecenia.


sudo mount //adc/share_name /mnt -o username=domain_user

Zastąp odpowiednio host, nazwę udziału, punkt podłączenia i użytkownika domeny. Użyj polecenia mount wydanego z grep, aby filtrować tylko według wyrażenia cifs.

Podsumowując, udziały skonfigurowane na AD DC Samba4 będą działać tylko z listami kontroli dostępu systemu Windows (ACL), a nie z listami ACL POSIX.

Skonfiguruj Sambę jako członka domeny z udziałami plikowymi, aby uzyskać inne możliwości udziału sieciowego. Ponadto na dodatkowym kontrolerze domeny skonfiguruj demona Windbindd – Krok drugi – przed rozpoczęciem eksportowania udziałów sieciowych.