Stvorite zajednički direktorij na Samba AD DC i mapirajte Windows/Linux klijente - 7. dio

Ovaj će vas vodič voditi o tome kako stvoriti dijeljeni direktorij na Samba AD DC sustavu, preslikati ovaj zajednički volumen na Windows klijente integrirane u domenu putem GPO-a i upravljati dozvolama za dijeljenje iz perspektive Windows kontrolera domene.

Također će obuhvatiti kako pristupiti i montirati udio datoteka s Linux računala upisanog u domenu pomoću računa domene Samba4.

Stvorite infrastrukturu Active Directory sa Samba4 na Ubuntu

Korak 1: Stvorite Samba File Share

1. Postupak stvaranja udjela na Samba AD DC vrlo je jednostavan zadatak. Prvo stvorite direktorij koji želite dijeliti putem SMB protokola i dodajte dolje dopuštenja na datotečni sustav kako biste administratoru Windows AD DC-a omogućili izmjenu dozvola za dijeljenje u skladu s dopuštenjima koja bi klijenti sustava Windows trebali vidjeti.

Pod pretpostavkom da će novo dijeljenje datoteka na AD DC biti direktorij /nas , pokrenite naredbe u nastavku da biste dodijelili ispravna dopuštenja.

# mkdir /nas
# chmod -R 775 /nas
# chown -R root:"domain users" /nas
# ls -alh | grep nas

2. Nakon što kreirate direktorij koji će se izvesti kao udio iz Samba4 AD DC, u konfiguracijsku datoteku sambe morate dodati sljedeće izjave kako biste udio učinili dostupnim putem SMB protokola.

# nano /etc/samba/smb.conf

Idite na dno datoteke i dodajte sljedeće retke:

[nas]
	path = /nas
	read only = no

3. Posljednje što trebate učiniti je ponovno pokrenuti Samba AD DC demon da biste primijenili promjene izdavanjem naredbe u nastavku:

# systemctl restart samba-ad-dc.service

Korak 2: Upravljanje dozvolama za dijeljenje Sambe

4. Budući da ovom zajedničkom volumenu pristupamo iz sustava Windows, koristeći račune domena (korisnici i grupe) koji su stvoreni na Samba AD DC-u (udjelu ne trebaju pristupiti korisnici Linux sustava).

Postupak upravljanja dozvolama može se izvršiti izravno iz Windows Explorera, na isti način na koji se upravlja dozvolama za bilo koju mapu u Windows Exploreru.

Prvo se prijavite na Windows stroj s računom Samba4 AD s administratorskim privilegijama na domeni. Da biste pristupili udjelu iz Windowsa i postavili dopuštenja, u polje IP Explorer puta Windows Explorer upišite IP adresu ili ime hosta ili FQDN uređaja Samba AD DC, a prije toga slijede dvije kose crte i udio treba biti vidljiv.

\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Da biste izmijenili dozvole, samo desnom tipkom miša kliknite udio i odaberite Svojstva. Idite na karticu Sigurnost i nastavite s promjenom korisnika domene i grupiranja dozvola u skladu s tim. Upotrijebite gumb Advanced da biste fino podesili dozvole.

Upotrijebite snimku zaslona u nastavku kao izvod o tome kako podesiti dozvole za određene račune s provjerom identiteta Samba AD DC.

6. Druga metoda koju možete koristiti za upravljanje dozvolama za dijeljenje je Upravljanje računalom -> Povezivanje s drugim računalom.

Dođite do Dijeljenja, kliknite desnom tipkom miša na udio za koji želite izmijeniti dozvole, odaberite Svojstva i pređite na karticu Sigurnost. Odavde možete mijenjati dozvole na bilo koji način, baš kao što je prikazano u prethodnoj metodi, koristeći dopuštenja za dijeljenje datoteka.

Korak 3: Mapirajte Samba File Share putem GPO-a

7. Da biste automatski montirali izvezeni udio datoteke samba putem pravila grupe domena, prvo na stroju s instaliranim RSAT alatima, otvorite uslužni program AD UC, desnom tipkom miša kliknite ime svoje domene, a zatim odaberite Novo -> Dijeljena mapa.

8. Dodajte naziv dijeljenog volumena i unesite mrežnu stazu na kojoj se nalazi vaš udio kao što je prikazano na donjoj slici. Pritisnite OK kada završite i udio bi sada trebao biti vidljiv na desnoj ravni.

9. Zatim otvorite konzolu za upravljanje grupnim pravilima, proširite se na skriptu zadanih pravila domene na svojoj domeni i otvorite datoteku za uređivanje.

U GPM Editoru idite na Korisnička konfiguracija -> Postavke -> Postavke sustava Windows i desnom tipkom miša kliknite Karte pogona i odaberite Novo -> Mapirani pogon.

10. U novom prozoru pretražite i dodajte mrežnu lokaciju za udio pritiskom na desni gumb s tri točke, označite potvrdni okvir Ponovo poveži, dodajte oznaku za ovaj udio, odaberite slovo za ovaj pogon i pritisnite gumb U redu da biste spremili i primijenili konfiguraciju .

11. Napokon, da biste prisilili i primijenili GPO promjene na vašem lokalnom računalu bez ponovnog pokretanja sustava, otvorite naredbeni redak i pokrenite sljedeću naredbu.

gpupdate /force

12. Nakon što se pravilo uspješno primijeni na vašem računalu, otvorite Windows Explorer i zajednički mrežni volumen trebao bi biti vidljiv i dostupan, ovisno o dopuštenjima koja ste dodijelili za dijeljenje u prethodnim koracima.

Dijeljenje će biti vidljivo ostalim klijentima na vašoj mreži nakon što se ponovno pokrenu ili se ponovo prijave na svoje sustave ako se pravila grupe neće forsirati iz naredbenog retka.

Korak 4: Pristupite Samba Shared Volume iz Linux klijenata

13. Korisnici Linuxa sa strojeva koji su upisani u Samba AD DC mogu također pristupiti ili montirati udio lokalno autentifikacijom u sustav pomoću Samba računa.

Prvo, trebaju osigurati da su sljedeći samba klijenti i uslužni programi instalirani na njihove sustave izdavanjem naredbe u nastavku.

$ sudo apt-get install smbclient cifs-utils

14. Da biste popisali izvezene dionice koje vaša domena pruža za određeni stroj kontrolera domene, upotrijebite donju naredbu:

$ smbclient –L your_domain_controller –U%
or
$ smbclient –L \\adc1 –U%

15. Da biste se interaktivno povezali na udio sambe iz naredbenog retka s računom domene, upotrijebite sljedeću naredbu:

$ sudo smbclient //adc/share_name -U domain_user

Na naredbenom retku možete navesti sadržaj dijeljenja, preuzeti ili prenijeti datoteke na dijeljenje ili izvoditi druge zadatke. Koristiti ? za popis svih dostupnih smbclient naredbi.

16. Za montiranje dijeljenja sambe na Linux stroj koristite naredbu u nastavku.

$ sudo mount //adc/share_name /mnt -o username=domain_user

U skladu s tim zamijenite hosta, ime dijeljenja, točku montiranja i korisnika domene. Upotrijebite naredbu za montiranje spojenu s grep za filtriranje samo po izrazu cifs.

Kao neki konačni zaključak, dijeljenja konfigurirana na Samba4 AD DC radit će samo s Windowsovim popisima za kontrolu pristupa (ACL), a ne s POSIX ACL-ovima.

Konfigurirajte Sambu kao člana Domene s dijeljenim datotekama kako biste postigli druge mogućnosti mrežnog udjela. Također, na dodatnom kontroleru domene konfigurirajte demon Windbindd - drugi korak - prije nego što započnete izvoz mrežnih udjela.