Opret et delt bibliotek på Samba AD DC og kort til Windows/Linux-klienter - Del 7
Denne vejledning vil guide dig om, hvordan du opretter en delt bibliotek på Samba AD DC-system, kortlæg denne delte lydstyrke til Windows-klienter integreret i domænet via GPO og administrerer deletilladelser fra Windows-domænecontrolperspektiv.
Det vil også dække, hvordan du får adgang til og monterer fildelen fra en Linux-maskine, der er tilmeldt domænet ved hjælp af en Samba4-domænekonto.
- Opret en Active Directory-infrastruktur med Samba4 på Ubuntu
Trin 1: Opret Samba File Share
1. Processen med at oprette en del på Samba AD DC er en meget enkel opgave. Opret først et bibliotek, du vil dele via SMB-protokol, og tilføj nedenstående tilladelser på filsystemet for at tillade et Windows AD DC-administratorkonto at ændre deletilladelserne i overensstemmelse med hvilke tilladelser Windows-klienter skal se.
Antages det, at den nye fildeling på AD DC ville være mappen /nas , skal du køre nedenstående kommandoer for at tildele de korrekte tilladelser.
# mkdir /nas # chmod -R 775 /nas # chown -R root:"domain users" /nas # ls -alh | grep nas
2. Når du har oprettet den mappe, der eksporteres som en deling fra Samba4 AD DC, skal du tilføje følgende udsagn til samba-konfigurationsfilen for at gøre delingen tilgængelig via SMB-protokol.
# nano /etc/samba/smb.conf
Gå til bunden af filen og tilføj følgende linjer:
[nas] path = /nas read only = no
3. Den sidste ting du skal gøre er at genstarte Samba AD DC-dæmonen for at anvende ændringerne ved at udstede nedenstående kommando:
# systemctl restart samba-ad-dc.service
Trin 2: Administrer Samba Share Permissions
4. Da vi får adgang til denne delte lydstyrke fra Windows ved hjælp af domænekonti (brugere og grupper), der er oprettet på Samba AD DC (delingen er ikke beregnet til at blive brugt af Linux-systembrugere).
Processen med at administrere tilladelser kan udføres direkte fra Windows Stifinder, på samme måde administreres tilladelser for enhver mappe i Windows Stifinder.
Log først på Windows-maskine med en Samba4 AD-konto med administrative rettigheder på domænet. For at få adgang til delingen fra Windows og indstille tilladelserne skal du skrive IP-adressen eller værtsnavnet eller FQDN på Samba AD DC-maskinen i stifeltet i Windows Stifinder, efterfulgt af to skråstreger, og delingen skal være synlig.
\\adc1 Or \2.168.1.254 Or \\adc1.tecmint.lan
5. For at ændre tilladelser skal du bare højreklikke på delingen og vælge Egenskaber. Naviger til fanen Sikkerhed, og fortsæt med at ændre domæne brugere og gruppetilladelser i overensstemmelse hermed. Brug knappen Avanceret for at finjustere tilladelser.
Brug nedenstående skærmbillede som et uddrag af, hvordan du indstiller tilladelser til specifikke Samba AD DC-godkendte konti.
6. En anden metode, du kan bruge til at administrere delingstilladelserne, er fra Computer Management -> Opret forbindelse til en anden computer.
Naviger til Aktier, højreklik på den del, du vil ændre tilladelser, vælg Egenskaber og gå til fanen Sikkerhed. Herfra kan du ændre tilladelser på den måde, du vil, ligesom præsenteret i den foregående metode ved hjælp af tilladelser til fildeling.
Trin 3: Kortlæg Samba File Share via GPO
7. For automatisk at montere den eksporterede samba-fildeling via domænegruppepolitik skal du først åbne AD UC-værktøjet på en maskine med RSAT-værktøjer, højreklikke på dit domænenavn og derefter vælge Ny -> Delt mappe.
8. Tilføj et navn til den delte lydstyrke, og indtast netværksstien, hvor din del er placeret som vist på nedenstående billede. Tryk på OK, når du er færdig, og delingen skal nu være synlig i det rigtige plan.
9. Åbn derefter konsol til gruppepolitikstyring, udvid til dit domæne Standarddomæne-politik script og åbn filen til redigering.
Gå til GPM Editor til Brugerkonfiguration -> Præferencer -> Windows-indstillinger, og højreklik på Drive Maps, og vælg Ny -> Mapped Drive.
10. I det nye vindue søg og tilføj netværksplaceringen til delingen ved at trykke på højre knap med tre prikker, afkryds afkrydsningsfeltet Genopret, tilføj en etiket til denne deling, vælg bogstavet til dette drev og tryk på OK-knappen for at gemme og anvende konfiguration .
11. Endelig skal du åbne en kommandoprompt og køre følgende kommando for at tvinge og anvende GPO-ændringer på din lokale maskine uden genstart af systemet.
gpupdate /force
12. Når politikken er blevet anvendt med succes på din maskine, skal du åbne Windows Stifinder, og den delte netværksvolumen skal være synlig og tilgængelig, afhængigt af hvilke tilladelser du har givet til delingen i tidligere trin.
Delingen vil være synlig for andre klienter på dit netværk, når de genstarter eller logger ind på deres systemer igen, hvis gruppepolitikken ikke tvinges fra kommandolinjen.
Trin 4: Få adgang til Samba Shared Volume fra Linux-klienter
13. Linux-brugere fra maskiner, der er tilmeldt Samba AD DC, kan også få adgang til eller montere delingen lokalt ved autentificering til systemet med en Samba-konto.
Først skal de forsikre sig om, at følgende samba-klienter og hjælpeprogrammer er installeret på deres systemer ved at udstede kommandoen nedenfor.
$ sudo apt-get install smbclient cifs-utils
14. For at liste de eksporterede aktier giver dit domæne en bestemt domænecontroller-maskine, brug nedenstående kommando:
$ smbclient –L your_domain_controller –U% or $ smbclient –L \\adc1 –U%
15. For at interagere med at oprette forbindelse til en samba-deling fra kommandolinjen med en domænekonto skal du bruge følgende kommando:
$ sudo smbclient //adc/share_name -U domain_user
På kommandolinjen kan du liste indholdet af delingen, downloade eller uploade filer til delingen eller udføre andre opgaver. Brug ? for at liste alle tilgængelige smbclient-kommandoer.
16. Brug nedenstående kommando til at montere en samba-del på en Linux-maskine.
$ sudo mount //adc/share_name /mnt -o username=domain_user
Udskift værten, del navn, monteringspunkt og domæne bruger i overensstemmelse hermed. Brug mount-kommando piped med grep til kun at filtrere efter cifs-udtryk.
Som nogle endelige konklusioner fungerer aktier, der er konfigureret på en Samba4 AD DC, kun med Windows adgangskontrollister (ACL), ikke POSIX ACL'er.
Konfigurer Samba som et domæne-medlem med fildelinger for at opnå andre muligheder for en netværksshare. Konfigurer også Windbinddemon på en ekstra domænecontroller - trin to - inden du begynder at eksportere netværksshares.