Ricerca nel sito web

Creare una directory condivisa su Samba AD DC ed eseguire la mappatura su client Windows/Linux - Parte 7

Questo tutorial ti guiderà su come creare una directory condivisa sul sistema Samba AD DC, mappare questo volume condiviso sui client Windows integrati nel dominio tramite GPO e gestire le autorizzazioni di condivisione dal punto di vista del controller di dominio Windows.

Verrà inoltre illustrato come accedere e montare la condivisione file da una macchina Linux registrata nel dominio utilizzando un account di dominio Samba4.

Requisiti:

  1. Crea un'infrastruttura Active Directory con Samba4 su Ubuntu

Passaggio 1: creare una condivisione file Samba

1. Il processo di creazione di una condivisione su Samba AD DC è un compito molto semplice. Per prima cosa crea una directory che desideri condividere tramite il protocollo SMB e aggiungi le seguenti autorizzazioni sul file system per consentire a un account amministratore Windows AD DC di modificare le autorizzazioni di condivisione in base alle autorizzazioni che i client Windows dovrebbero vedere.

Supponendo che la nuova condivisione file in AD DC sia la directory /nas, esegui i comandi seguenti per assegnare le autorizzazioni corrette.


mkdir /nas
chmod -R 775 /nas
chown -R root:"domain users" /nas
ls -alh | grep nas

2. Dopo aver creato la directory che verrà esportata come condivisione da Samba4 AD DC, è necessario aggiungere le seguenti istruzioni al file di configurazione di samba per rendere la condivisione disponibile tramite il protocollo SMB.


nano /etc/samba/smb.conf

Vai alla fine del file e aggiungi le seguenti righe:


[nas]
	path = /nas
	read only = no

3. L'ultima cosa che devi fare è riavviare il demone Samba AD DC per applicare le modifiche emettendo il comando seguente:


systemctl restart samba-ad-dc.service

Passaggio 2: gestire le autorizzazioni di condivisione di Samba

4. Poiché stiamo accedendo a questo volume condiviso da Windows, utilizzando gli account di dominio (utenti e gruppi) creati su Samba AD DC (la condivisione non è destinata ad essere accessibili agli utenti del sistema Linux).

Il processo di gestione delle autorizzazioni può essere eseguito direttamente da Esplora risorse, allo stesso modo in cui vengono gestite le autorizzazioni per qualsiasi cartella in Esplora risorse.

Innanzitutto, accedi al computer Windows con un account Samba4 AD con privilegi amministrativi sul dominio. Per accedere alla condivisione da Windows e impostare le autorizzazioni, digitare l'indirizzo IP o il nome host o il nome FQDN della macchina Samba AD DC nel campo del percorso di Esplora risorse, preceduto da due barre rovesciate e la condivisione dovrebbe essere visibile.


\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Per modificare le autorizzazioni è sufficiente fare clic con il pulsante destro del mouse sulla condivisione e scegliere Proprietà. Passa alla scheda Sicurezza e procedi con la modifica degli utenti del dominio e delle autorizzazioni del gruppo di conseguenza. Utilizza il pulsante Avanzate per ottimizzare le autorizzazioni.

Utilizza lo screenshot seguente come estratto su come ottimizzare le autorizzazioni per specifici account autenticati Samba AD DC.

6. Un altro metodo che puoi utilizzare per gestire le autorizzazioni di condivisione è da Gestione computer -> Connetti a un altro computer.

Passa a Condivisioni, fai clic con il pulsante destro del mouse sulla condivisione di cui desideri modificare le autorizzazioni, scegli Proprietà e passa alla scheda Sicurezza. Da qui puoi modificare le autorizzazioni nel modo che preferisci, proprio come presentato nel metodo precedente utilizzando le autorizzazioni di condivisione file.

Passaggio 3: mappare la condivisione file Samba tramite GPO

7. Per montare automaticamente la condivisione file samba esportata tramite i Criteri di gruppo del dominio, prima su un computer con gli strumenti RSAT installati, aprire l'utilità AD UC, fai clic con il pulsante destro del mouse sul nome del tuo dominio e, quindi, seleziona Nuovo -> Cartella condivisa.

8. Aggiungi un nome per il volume condiviso e inserisci il percorso di rete in cui si trova la tua condivisione come illustrato nell'immagine seguente. Premi OK quando hai finito e la condivisione dovrebbe ora essere visibile sul piano destro.

9. Successivamente, apri la console Gestione criteri di gruppo, espandi lo script Criteri dominio predefinito del tuo dominio e apri il file per la modifica.

Nell'editor GPM vai a Configurazione utente -> Preferenze -> Impostazioni di Windows e fai clic con il pulsante destro del mouse su Drive Maps e scegli Nuovo -> Unità mappata.

10. Nella nuova finestra cerca e aggiungi il percorso di rete per la condivisione premendo il pulsante destro con tre punti, seleziona la casella di controllo Riconnetti, aggiungi un'etichetta per questa condivisione, scegli la lettera relativa a questa unità e premi il pulsante OK per salvare e applicare la configurazione.

11. Infine, per forzare e applicare le modifiche all'GPO sul tuo computer locale senza riavviare il sistema, apri un prompt dei comandi ed esegui quanto segue comando.


gpupdate /force

12. Dopo che la policy è stata applicata con successo sul tuo computer, apri Esplora risorse e il volume di rete condiviso dovrebbe essere visibile e accessibile, a seconda delle autorizzazioni che hai concesso per la condivisione sui passaggi precedenti.

La condivisione sarà visibile per gli altri client sulla rete dopo il riavvio o l'accesso successivo ai propri sistemi se i criteri di gruppo non verranno forzati dalla riga di comando.

Passaggio 4: accedere al volume condiviso Samba dai client Linux

13. Anche gli utenti Linux di macchine registrate in Samba AD DC possono accedere o montare la condivisione localmente autenticandosi nel sistema con un account Samba.

Innanzitutto, devono assicurarsi che i seguenti client e utilità Samba siano installati sui loro sistemi eseguendo il comando seguente.


sudo apt-get install smbclient cifs-utils

14. Per elencare le condivisioni esportate fornite dal tuo dominio per un computer controller di dominio specifico, utilizza il comando seguente:


smbclient –L your_domain_controller –U%
or
smbclient –L \\adc1 –U%

15. Per connettersi in modo interattivo a una condivisione Samba dalla riga di comando con un account di dominio, utilizzare il seguente comando:


sudo smbclient //adc/share_name -U domain_user

Sulla riga di comando è possibile elencare il contenuto della condivisione, scaricare o caricare file nella condivisione o eseguire altre attività. Utilizzo ? per elencare tutti i comandi smbclient disponibili.

16. Per montare una condivisione Samba su una macchina Linux utilizzare il comando seguente.


sudo mount //adc/share_name /mnt -o username=domain_user

Sostituisci host, nome condivisione, punto di montaggio e utente dominio di conseguenza. Utilizza il comando mount trasmesso con grep per filtrare solo in base all'espressione cifs.

Come conclusione finale, le condivisioni configurate su un Samba4 AD DC funzioneranno solo con gli elenchi di controllo degli accessi (ACL) di Windows, non con gli ACL POSIX.

Configura Samba come membro del dominio con condivisioni di file per ottenere altre funzionalità per una condivisione di rete. Inoltre, su un controller di dominio aggiuntivo configura il demone Windbindd – Passaggio due – prima di iniziare a esportare le condivisioni di rete.