Vyhledávání na webu

Vytvoření sdíleného adresáře na Samba AD DC a mapování na klienty Windows/Linux – část 7

Tento výukový program vás provede vytvořením sdíleného adresáře v systému Samba AD DC, namapováním tohoto sdíleného svazku na klienty Windows integrované do domény pomocí GPO a správu oprávnění ke sdílení z pohledu řadiče domény Windows.

Také se bude zabývat tím, jak získat přístup a připojit sdílenou složku z počítače se systémem Linux zapsaného do domény pomocí účtu domény Samba4.

Požadavky:

  1. Vytvořte infrastrukturu Active Directory pomocí Samba4 na Ubuntu

Krok 1: Vytvořte sdílení souborů Samba

1. Proces vytváření sdílení na Samba AD DC je velmi jednoduchý úkol. Nejprve vytvořte adresář, který chcete sdílet prostřednictvím protokolu SMB, a přidejte níže uvedená oprávnění k systému souborů, abyste umožnili účtu správce Windows AD DC upravit oprávnění ke sdílení podle toho, jaká oprávnění by měli vidět klienti Windows.

Za předpokladu, že nový sdílený soubor v AD DC bude adresář /nas, spusťte níže uvedené příkazy a přiřaďte správná oprávnění.


mkdir /nas
chmod -R 775 /nas
chown -R root:"domain users" /nas
ls -alh | grep nas

2. Po vytvoření adresáře, který bude exportován jako sdílený z Samba4 AD DC, musíte do konfiguračního souboru samby přidat následující příkazy, abyste mohli sdílení dostupné prostřednictvím protokolu SMB.


nano /etc/samba/smb.conf

Přejděte na konec souboru a přidejte následující řádky:


[nas]
	path = /nas
	read only = no

3. Poslední věcí, kterou musíte udělat, je restartovat démona Samba AD DC, abyste mohli použít změny zadáním níže uvedeného příkazu:


systemctl restart samba-ad-dc.service

Krok 2: Správa oprávnění ke sdílení Samba

4. Vzhledem k tomu, že k tomuto sdílenému svazku přistupujeme ze systému Windows, pomocí doménových účtů (uživatelů a skupin), které jsou vytvořeny na Samba AD DC (sdílení není určeno přístupné uživateli systému Linux).

Proces správy oprávnění lze provést přímo z Průzkumníka Windows, stejným způsobem, jakým se spravují oprávnění pro jakoukoli složku v Průzkumníkovi Windows.

Nejprve se přihlaste k počítači se systémem Windows pomocí účtu Samba4 AD s oprávněními správce v doméně. Chcete-li získat přístup ke sdílené složce ze systému Windows a nastavit oprávnění, zadejte do pole cesty Průzkumníka Windows IP adresu nebo název hostitele nebo FQDN počítače Samba AD DC, kterému předcházejí dvě zpětná lomítka, a sdílená složka by měla být viditelná.


\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Chcete-li upravit oprávnění, klikněte pravým tlačítkem na sdílenou položku a vyberte možnost Vlastnosti. Přejděte na kartu Zabezpečení a podle toho upravte oprávnění uživatelů domény a skupiny. K doladění oprávnění použijte tlačítko Upřesnit.

Níže uvedený snímek obrazovky použijte jako výňatek, jak vyladit oprávnění pro konkrétní ověřené účty Samba AD DC.

6. Další metoda, kterou můžete použít ke správě oprávnění ke sdílení, je z Správa počítače -> Připojit k jinému počítači.

Přejděte na Sdílené složky, klikněte pravým tlačítkem na sdílenou složku, u které chcete upravit oprávnění, vyberte možnost Vlastnosti a přejděte na kartu Zabezpečení. Odtud můžete změnit oprávnění libovolným způsobem, jak je uvedeno v předchozí metodě pomocí oprávnění ke sdílení souborů.

Krok 3: Namapujte sdílení souborů Samba přes GPO

7. Chcete-li automaticky připojit exportovaný sdílený soubor samba prostřednictvím domény Group Policy, nejprve na počítači s nainstalovanými nástroji RSAT otevřete nástroj AD UC, klikněte pravým tlačítkem na název své domény a poté vyberte Nová -> Sdílená složka.

8. Přidejte název sdíleného svazku a zadejte síťovou cestu, kde se vaše sdílená složka nachází, jak je znázorněno na obrázku níže. Po dokončení klikněte na OK a sdílení by nyní mělo být viditelné na pravé rovině.

9. Dále otevřete konzolu Správa zásad skupiny, rozbalte skript Výchozí zásady domény vaší domény a otevřete soubor pro úpravy.

V Editoru GPM přejděte na Konfigurace uživatele -> Předvolby -> Nastavení systému Windows a klikněte pravým tlačítkem na Mapy disku a zvolte Nový -> Mapovaný disk.

10. Při hledání v novém okně přidejte síťové umístění pro sdílenou položku stisknutím pravého tlačítka se třemi tečkami, zaškrtněte políčko Znovu připojit, přidejte štítek pro tuto sdílenou položku, vyberte písmeno pro tento disk a stiskněte tlačítko OK pro uložení a použití konfigurace.

11. Nakonec, chcete-li vynutit a použít změny GPO na místním počítači bez restartování systému, otevřete Příkazový řádek a spusťte následující příkaz.


gpupdate /force

12. Po úspěšném použití zásad na vašem počítači otevřete Průzkumníka Windows a sdílený síťový svazek by měl být viditelný a přístupný v závislosti na tom, pro jaká oprávnění jste udělili podíl na předchozích krocích.

Sdílená složka bude viditelná pro ostatní klienty ve vaší síti poté, co se restartují nebo znovu přihlásí do svých systémů, pokud nebudou z příkazového řádku vynuceny zásady skupiny.

Krok 4: Přístup ke sdílenému svazku Samba z klientů Linuxu

13. Uživatelé Linuxu z počítačů, které jsou zaregistrovány do Samba AD DC, mohou také přistupovat ke sdílené složce nebo ji připojit lokálně pomocí ověření do systému pomocí účtu Samba.

Nejprve se musí ujistit, že na jejich systémech jsou nainstalováni následující klienti a nástroje samba vydáním níže uvedeného příkazu.


sudo apt-get install smbclient cifs-utils

14. Chcete-li zobrazit seznam exportovaných sdílených položek, které vaše doména poskytuje pro konkrétní počítač s řadičem domény, použijte níže uvedený příkaz:


smbclient –L your_domain_controller –U%
or
smbclient –L \\adc1 –U%

15. Chcete-li se interaktivně připojit ke sdílené složce samba z příkazového řádku pomocí účtu domény, použijte následující příkaz:


sudo smbclient //adc/share_name -U domain_user

Na příkazovém řádku můžete vypsat obsah sdílené složky, stáhnout nebo odeslat soubory do sdílené složky nebo provádět jiné úkoly. použít ? pro výpis všech dostupných příkazů smbclient.

16. Chcete-li připojit sdílenou složku samba na počítači se systémem Linux, použijte níže uvedený příkaz.


sudo mount //adc/share_name /mnt -o username=domain_user

Nahraďte odpovídajícím způsobem hostitel, název sdílené položky, přípojný bod a uživatele domény. Chcete-li filtrovat pouze podle výrazu cifs, použijte příkaz mount zřetězený pomocí grep.

Podle některých závěrečných závěrů budou sdílené položky nakonfigurované na Samba4 AD DC fungovat pouze se seznamy řízení přístupu Windows (ACL), nikoli s POSIX ACL.

Nakonfigurujte Sambu jako člena domény se sdílením souborů, abyste dosáhli dalších možností pro sdílení v síti. Na dalším řadiči domény také nakonfigurujte démona Windbindd – Krok dva – předtím, než začnete exportovat sdílené síťové položky.