Поиск по сайту:

Создание общего каталога на Samba AD DC и его сопоставление с клиентами Windows/Linux. Часть 7.


Из этого руководства вы узнаете, как создать общий каталог в системе Samba AD DC, сопоставить этот общий том с клиентами Windows, интегрированными в домен через объект групповой политики, и управлять разрешениями общего доступа с точки зрения контроллера домена Windows.

Также будет описано, как получить доступ к общему файловому ресурсу и смонтировать его с компьютера Linux, зарегистрированного в домене, с использованием учетной записи домена Samba4.

Требования:

  1. Создайте инфраструктуру Active Directory с помощью Samba4 в Ubuntu

Шаг 1. Создайте общий файловый ресурс Samba

1. Процесс создания общего ресурса на Samba AD DC — очень простая задача. Сначала создайте каталог, к которому вы хотите предоставить общий доступ по протоколу SMB, и добавьте указанные ниже разрешения в файловой системе, чтобы позволить учетной записи администратора Windows AD DC изменять разрешения общего доступа в соответствии с тем, какие разрешения должны видеть клиенты Windows.

Предполагая, что новым файловым ресурсом на AD DC будет каталог /nas, выполните приведенные ниже команды, чтобы назначить правильные разрешения.


mkdir /nas
chmod -R 775 /nas
chown -R root:"domain users" /nas
ls -alh | grep nas

2. После того, как вы создали каталог, который будет экспортирован как общий ресурс из Samba4 AD DC, вам необходимо добавить следующие инструкции в файл конфигурации Samba, чтобы сделать общий ресурс доступен по протоколу SMB.


nano /etc/samba/smb.conf

Перейдите в конец файла и добавьте следующие строки:


[nas]
	path = /nas
	read only = no

3. Последнее, что вам нужно сделать, это перезапустить демон Samba AD DC, чтобы применить изменения, выполнив следующую команду:


systemctl restart samba-ad-dc.service

Шаг 2. Управление разрешениями общего доступа Samba

4. Поскольку мы получаем доступ к этому общему тому из Windows, используя учетные записи домена (пользователей и группы), созданные в Samba AD DC (этот общий ресурс не предназначен для доступ пользователей системы Linux).

Процесс управления разрешениями можно выполнять непосредственно из Проводника Windows, точно так же, как разрешения управляются для любой папки в Проводнике Windows.

Сначала войдите на компьютер с Windows под учетной записью Samba4 AD с правами администратора в домене. Чтобы получить доступ к общему ресурсу из Windows и установить разрешения, введите IP-адрес, имя хоста или полное доменное имя компьютера Samba AD DC в поле пути проводника Windows, которому предшествуют две обратные косые черты, и общий ресурс должен стать видимым.


\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Чтобы изменить разрешения, просто щелкните правой кнопкой мыши общий ресурс и выберите Свойства. Перейдите на вкладку Безопасность и соответствующим образом измените права пользователей домена и групп. Используйте кнопку Дополнительно для точной настройки разрешений.

Используйте приведенный ниже снимок экрана в качестве примера настройки разрешений для определенных учетных записей, прошедших проверку подлинности Samba AD DC.

6. Другой метод, который вы можете использовать для управления разрешениями общего доступа, — это Управление компьютером -> Подключиться к другому компьютеру.

Перейдите к Общие ресурсы, щелкните правой кнопкой мыши общий ресурс, права которого вы хотите изменить, выберите Свойства и перейдите на вкладку Безопасность. Отсюда вы можете изменить разрешения любым способом, как показано в предыдущем методе, используя разрешения для общего доступа к файлам.

Шаг 3. Сопоставьте общий файловый ресурс Samba с помощью объекта групповой политики.

7. Чтобы автоматически смонтировать экспортированную общую папку Samba с помощью Групповой политики домена, сначала на компьютере с установленными инструментами RSAT откройте утилиту AD UC, Щелкните правой кнопкой мыши свое доменное имя и выберите Создать -> Общая папка.

8. Добавьте имя общего тома и введите сетевой путь, где находится ваш общий ресурс, как показано на рисунке ниже. Когда закончите, нажмите ОК, и теперь общий ресурс должен быть виден в правой плоскости.

9. Затем откройте консоль Управление групповой политикой, разверните сценарий Политика домена по умолчанию вашего домена и откройте файл для редактирования.

В Редакторе GPM перейдите к Конфигурация пользователя -> Настройки -> Настройки Windows, щелкните правой кнопкой мыши Карты дисков и выберите Создать -> Подключенный диск.

10. В новом окне найдите и добавьте сетевое местоположение для общего ресурса, нажав правую кнопку с тремя точками, установите флажок Переподключиться, добавьте метку для этого общего ресурса, выберите букву этого диска и нажмите кнопку ОК, чтобы сохранить и применить конфигурацию.

11. Наконец, чтобы принудительно применить изменения GPO на локальном компьютере без перезагрузки системы, откройте Командную строку и выполните следующую команду. команда.


gpupdate /force

12. После успешного применения политики на вашем компьютере откройте Проводник Windows, и общий сетевой том должен стать видимым и доступным, в зависимости от того, какие разрешения вы предоставили для доля на предыдущих шагах.

Общий ресурс будет виден другим клиентам в вашей сети после перезагрузки или повторного входа в свои системы, если групповая политика не будет принудительно применена из командной строки.

Шаг 4. Доступ к общему тому Samba из клиентов Linux

13. Пользователи Linux с компьютеров, зарегистрированных в Samba AD DC, также могут получить доступ к общему ресурсу или смонтировать его локально, пройдя аутентификацию в системе с учетной записью Samba.

Во-первых, им необходимо убедиться, что в их системах установлены следующие клиенты и утилиты Samba, выполнив приведенную ниже команду.


sudo apt-get install smbclient cifs-utils

14. Чтобы получить список экспортированных общих ресурсов, которые ваш домен предоставляет конкретному компьютеру с контроллером домена, используйте следующую команду:


smbclient –L your_domain_controller –U%
or
smbclient –L \\adc1 –U%

15. Чтобы интерактивно подключиться к общему ресурсу Samba из командной строки с учетной записью домена, используйте следующую команду:


sudo smbclient //adc/share_name -U domain_user

В командной строке вы можете просмотреть содержимое общего ресурса, загрузить или загрузить файлы в общий ресурс или выполнить другие задачи. Использовать ? чтобы вывести список всех доступных команд smbclient.

16. Чтобы смонтировать общий ресурс Samba на компьютере с Linux, используйте приведенную ниже команду.


sudo mount //adc/share_name /mnt -o username=domain_user

Замените хост, имя общего ресурса, точку подключения и пользователя домена соответственно. Используйте команду mount, передаваемую по конвейеру с помощью grep, чтобы фильтровать только по выражению cifs.

Подведем итоги: общие ресурсы, настроенные на Samba4 AD DC, будут работать только со списками управления доступом Windows (ACL), а не с POSIX ACL.

Настройте Samba как члена домена с общими файловыми ресурсами, чтобы получить другие возможности для общего сетевого ресурса. Кроме того, на дополнительном контроллере домена настройте демон Windbindd (Шаг второй) перед началом экспорта общих сетевых ресурсов.