Zoeken op website

Maak een gedeelde map op Samba AD DC en wijs deze toe aan Windows/Linux-clients - Deel 7

In deze tutorial leert u hoe u een gedeelde map kunt maken op het Samba AD DC-systeem, hoe u dit gedeelde volume kunt toewijzen aan Windows-clients die via GPO in het domein zijn geïntegreerd en hoe u de deelrechten kunt beheren vanuit het perspectief van de Windows-domeincontroller.

Ook wordt besproken hoe u de bestandsshare kunt openen en koppelen vanaf een Linux-machine die bij een domein is ingeschreven met behulp van een Samba4-domeinaccount.

Vereisten:

  1. Creëer een Active Directory-infrastructuur met Samba4 op Ubuntu

Stap 1: Maak een Samba-bestandsshare aan

1. Het proces van het maken van een share op Samba AD DC is een heel eenvoudige taak. Maak eerst een map aan die u wilt delen via het SMB-protocol en voeg de onderstaande machtigingen toe aan het bestandssysteem, zodat een Windows AD DC beheerdersaccount de machtigingen voor het delen kan aanpassen aan de machtigingen die Windows-clients zouden moeten zien.

Ervan uitgaande dat de nieuwe bestandsshare op de AD DC de map /nas zou zijn, voert u de onderstaande opdrachten uit om de juiste machtigingen toe te wijzen.


mkdir /nas
chmod -R 775 /nas
chown -R root:"domain users" /nas
ls -alh | grep nas

2. Nadat u de map heeft gemaakt die als share uit Samba4 AD DC wordt geëxporteerd, moet u de volgende instructies aan het samba-configuratiebestand toevoegen om de share die beschikbaar is via het SMB-protocol.


nano /etc/samba/smb.conf

Ga naar de onderkant van het bestand en voeg de volgende regels toe:


[nas]
	path = /nas
	read only = no

3. Het laatste wat u hoeft te doen is de Samba AD DC daemon opnieuw opstarten om de wijzigingen toe te passen door het onderstaande commando uit te voeren:


systemctl restart samba-ad-dc.service

Stap 2: Beheer Samba Share-machtigingen

4. Omdat we toegang krijgen tot dit gedeelde volume vanuit Windows, gebruiken we domeinaccounts (gebruikers en groepen) die zijn gemaakt op Samba AD DC (het is niet de bedoeling dat het gedeelde volume toegankelijk voor Linux-systeemgebruikers).

Het proces voor het beheren van machtigingen kan rechtstreeks vanuit Windows Verkenner worden uitgevoerd, op dezelfde manier waarop machtigingen voor elke map in Windows Verkenner worden beheerd.

Meld u eerst aan op de Windows-computer met een Samba4 AD-account met beheerdersrechten voor het domein. Om toegang te krijgen tot de share vanuit Windows en de machtigingen in te stellen, typt u het IP-adres of de hostnaam of FQDN van de Samba AD DC-machine in het padveld van Windows Verkenner, voorafgegaan door twee back slashes, en de share zou zichtbaar moeten zijn.


\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Om de rechten te wijzigen, klikt u met de rechtermuisknop op het gedeelde item en kiest u Eigenschappen. Navigeer naar het tabblad Beveiliging en ga verder met het dienovereenkomstig wijzigen van domeingebruikers en groepsrechten. Gebruik de knop Geavanceerd om de rechten te verfijnen.

Gebruik de onderstaande schermafbeelding als voorbeeld van hoe u de machtigingen kunt afstemmen voor specifieke door Samba AD DC geverifieerde accounts.

6. Een andere methode die u kunt gebruiken om de deelrechten te beheren is via Computerbeheer -> Verbinden met een andere computer.

Navigeer naar Shares, klik met de rechtermuisknop op de share waarvan u de rechten wilt wijzigen, kies Eigenschappen en ga naar het tabblad Beveiliging. Vanaf hier kunt u de machtigingen op elke gewenste manier wijzigen, net zoals gepresenteerd in de vorige methode, met behulp van machtigingen voor het delen van bestanden.

Stap 3: Breng de Samba-bestandsshare in kaart via GPO

7. Om de geëxporteerde samba-bestandsshare automatisch te koppelen via domein Groepsbeleid, opent u eerst op een machine waarop RSAT-tools zijn geïnstalleerd het hulpprogramma AD UC, klik met de rechtermuisknop op uw domeinnaam en kies vervolgens Nieuw -> Gedeelde map.

8. Voeg een naam toe voor het gedeelde volume en voer het netwerkpad in waar uw share zich bevindt, zoals geïllustreerd in de onderstaande afbeelding. Druk op OK als je klaar bent. Het delen zou nu zichtbaar moeten zijn in het rechtervlak.

9. Open vervolgens de console Groepsbeleidsbeheer, vouw uit naar het Standaarddomeinbeleid-script voor uw domein en open het bestand om het te bewerken.

Navigeer in de GPM Editor naar Gebruikersconfiguratie -> Voorkeuren -> Windows-instellingen en klik met de rechtermuisknop op Drive Maps en kies Nieuw -> Toegewezen Drive.

10. Zoek in het nieuwe venster en voeg de netwerklocatie voor de share toe door op de rechterknop met drie stippen te drukken, vink het selectievakje Opnieuw verbinden aan, voeg een label toe voor deze share, kies de letter voor deze schijf en druk op de knop OK om de configuratie op te slaan en toe te passen.

11. Ten slotte, om GPO-wijzigingen op uw lokale computer af te dwingen en toe te passen zonder het systeem opnieuw op te starten, opent u een Opdrachtprompt en voert u het volgende uit commando.


gpupdate /force

12. Nadat het beleid met succes op uw computer is toegepast, opent u Windows Verkenner en het gedeelde netwerkvolume zou zichtbaar en toegankelijk moeten zijn, afhankelijk van de machtigingen die u heeft verleend het aandeel in eerdere stappen.

De share zal zichtbaar zijn voor andere clients in uw netwerk nadat ze opnieuw zijn opgestart of zich opnieuw hebben aangemeld op hun systemen, als het groepsbeleid niet vanaf de opdrachtregel wordt geforceerd.

Stap 4: Krijg toegang tot het gedeelde Samba-volume vanaf Linux-clients

13. Linux-gebruikers van machines die zijn ingeschreven bij Samba AD DC kunnen de share ook lokaal openen of aankoppelen door zich bij het systeem te authenticeren met een Samba-account.

Ten eerste moeten ze ervoor zorgen dat de volgende samba-clients en hulpprogramma's op hun systemen zijn geïnstalleerd door het onderstaande commando uit te voeren.


sudo apt-get install smbclient cifs-utils

14. Om de geëxporteerde shares weer te geven die uw domein biedt voor een specifieke domeincontrollermachine, gebruikt u de onderstaande opdracht:


smbclient –L your_domain_controller –U%
or
smbclient –L \\adc1 –U%

15. Om interactief verbinding te maken met een samba-share vanaf de opdrachtregel met een domeinaccount, gebruikt u de volgende opdracht:


sudo smbclient //adc/share_name -U domain_user

Op de opdrachtregel kunt u de inhoud van de share weergeven, bestanden naar de share downloaden of uploaden of andere taken uitvoeren. Gebruik ? om alle beschikbare smbclient-opdrachten weer te geven.

16. Gebruik het onderstaande commando om een samba-share op een Linux-machine te mounten.


sudo mount //adc/share_name /mnt -o username=domain_user

Vervang de host, sharenaam, koppelpunt en domeingebruiker dienovereenkomstig. Gebruik de opdracht mount met grep om alleen op cifs-expressie te filteren.

Enkele eindconclusies: gedeelde bestanden die op een Samba4 AD DC zijn geconfigureerd, werken alleen met Windows-toegangscontrolelijsten (ACL), en niet met POSIX ACL's.

Configureer Samba als domeinlid met bestandsshares om andere mogelijkheden voor een netwerkshare te verkrijgen. Configureer op een extra domeincontroller ook de Windbindd-daemon – Stap twee – voordat u netwerkshares gaat exporteren.