Opprett en delt katalog på Samba AD DC og kart til Windows/Linux-klienter - Del 7

Denne veiledningen vil veilede deg om hvordan du oppretter en delt katalog på Samba AD DC-systemet, kartlegger dette delte volumet til Windows-klienter integrert i domenet via GPO og administrerer delingstillatelser fra Windows-domenekontrollerperspektiv.

Den vil også dekke hvordan du får tilgang til og monterer fildelingen fra en Linux-maskin som er registrert på domene ved hjelp av en Samba4-domenekonto.

Krav:

  1. Lag en Active Directory-infrastruktur med Samba4 på Ubuntu

Trinn 1: Opprett Samba-fildeling

1. Prosessen med å opprette en deling på Samba AD DC er en veldig enkel oppgave. Opprett først en katalog du vil dele via SMB-protokollen og legg til tillatelsene nedenfor på filsystemet for å tillate en Windows AD DC-administratorkonto å endre delingstillatelsene i henhold til hvilke tillatelser Windows-klienter skal se.

Forutsatt at den nye fildelingen på AD DC vil være /nas-katalogen, kjør kommandoene nedenfor for å tildele de riktige tillatelsene.


mkdir /nas
chmod -R 775 /nas
chown -R root:"domain users" /nas
ls -alh | grep nas

2. Etter at du har opprettet katalogen som skal eksporteres som en delt del fra Samba4 AD DC, må du legge til følgende setninger i samba-konfigurasjonsfilen for å lage andelen tilgjengelig via SMB-protokollen.


nano /etc/samba/smb.conf

Gå til bunnen av filen og legg til følgende linjer:


[nas]
	path = /nas
	read only = no

3. Det siste du trenger å gjøre er å starte Samba AD DC-demonen på nytt for å bruke endringene ved å gi kommandoen nedenfor:


systemctl restart samba-ad-dc.service

Trinn 2: Administrer Samba-delingstillatelser

4. Siden vi får tilgang til dette delte volumet fra Windows, bruker domenekontoer (brukere og grupper) som er opprettet på Samba AD DC (andelen er ikke ment å være tilgang til av Linux-systembrukere).

Prosessen med å administrere tillatelser kan gjøres direkte fra Windows Utforsker, på samme måte som tillatelser administreres for enhver mappe i Windows Utforsker.

Først logger du på Windows-maskinen med en Samba4 AD-konto med administrative rettigheter på domenet. For å få tilgang til delingen fra Windows og angi tillatelsene, skriv inn IP-adressen eller vertsnavnet eller FQDN til Samba AD DC-maskinen i banefeltet i Windows Utforsker, etterfulgt av to bakre skråstreker, og delingen skal være synlig.


\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. For å endre tillatelser, høyreklikker du bare på delingen og velger Egenskaper. Naviger til Sikkerhet-fanen og fortsett med å endre domenebrukere og gruppetillatelser tilsvarende. Bruk Avansert-knappen for å finjustere tillatelser.

Bruk skjermbildet nedenfor som et utdrag om hvordan du justerer tillatelser for spesifikke Samba AD DC-godkjente kontoer.

6. En annen metode du kan bruke for å administrere delingstillatelsene er fra Datamaskinadministrasjon -> Koble til til en annen datamaskin.

Naviger til Delinger, høyreklikk på delingen du vil endre tillatelsene til, velg Egenskaper og gå til kategorien Sikkerhet. Herfra kan du endre tillatelser på hvilken som helst måte du vil, akkurat som presentert i forrige metode ved å bruke fildelingstillatelser.

Trinn 3: Kartlegg Samba-fildelingen via GPO

7. For å automatisk montere den eksporterte samba-filandelen via domenet Gruppepolicy, åpner du AD UC-verktøyet først på en maskin med RSAT-verktøy installert, høyreklikk på domenenavnet ditt, og velg deretter Ny -> Delt mappe.

8. Legg til et navn for det delte volumet og skriv inn nettverksbanen der delingen er plassert, som illustrert på bildet nedenfor. Trykk OK når du er ferdig, og delingen skal nå være synlig på høyre plan.

9. Deretter åpner du Gruppepolicyadministrasjon-konsollen, utvider til domenet ditt Standard domenepolicy-skript og åpner filen for redigering.

GPM Editor naviger til Brukerkonfigurasjon -> Innstillinger -> Windows-innstillinger og høyreklikk på Drive Maps og velg Ny -> Kartlagt stasjon.

10. Søk i det nye vinduet og legg til nettverksplasseringen for delingen ved å trykke på høyre knapp med tre prikker, merk av for Koble til på nytt, legg til en etikett for denne delingen, velg bokstaven for denne stasjonen og trykk OK-knappen for å lagre og bruke konfigurasjonen.

11. Til slutt, for å fremtvinge og bruke GPO-endringer på din lokale maskin uten omstart av systemet, åpne en kommandoprompt og kjør følgende kommando.


gpupdate /force

12. Etter at policyen har blitt brukt på maskinen din, åpner du Windows Utforsker og det delte nettverksvolumet skal være synlig og tilgjengelig, avhengig av hvilke tillatelser du har gitt for andelen på tidligere trinn.

Delingen vil være synlig for andre klienter på nettverket ditt etter at de har startet på nytt eller logget på systemene sine på nytt hvis gruppepolicyen ikke tvinges fra kommandolinjen.

Trinn 4: Få tilgang til Samba Shared Volume fra Linux-klienter

13. Linux-brukere fra maskiner som er registrert i Samba AD DC kan også få tilgang til eller montere delingen lokalt ved å autentisere seg i systemet med en Samba-konto.

Først må de forsikre seg om at følgende samba-klienter og -verktøy er installert på systemene deres ved å gi kommandoen nedenfor.


sudo apt-get install smbclient cifs-utils

14. For å liste opp de eksporterte delingene domenet ditt tilbyr for en spesifikk domenekontrollermaskin, bruk kommandoen nedenfor:


smbclient –L your_domain_controller –U%
or
smbclient –L \\adc1 –U%

15. For å interaktivt koble til en samba-andel fra kommandolinjen med en domenekonto, bruk følgende kommando:


sudo smbclient //adc/share_name -U domain_user

På kommandolinjen kan du liste innholdet i delingen, laste ned eller laste opp filer til delingen eller utføre andre oppgaver. Bruk ? for å liste alle tilgjengelige smbclient-kommandoer.

16. For å montere en samba-deling på en Linux-maskin, bruk kommandoen nedenfor.


sudo mount //adc/share_name /mnt -o username=domain_user

Bytt ut verten, andelsnavnet, monteringspunktet og domenebrukeren tilsvarende. Bruk mount-kommandoen med grep for å filtrere bare etter cifs-uttrykk.

Som noen endelige konklusjoner, vil delinger konfigurert på en Samba4 AD DC bare fungere med Windows-tilgangskontrolllister (ACL), ikke POSIX-ACL-er.

Konfigurer Samba som et domenemedlem med fildelinger for å oppnå andre muligheter for en nettverksdeling. Konfigurer også Windbindd-demonen på en ekstra domenekontroller – Trinn to – før du begynner å eksportere nettverksandeler.