Samba AD DC-s jagatud kataloogi loomine ja Windowsi/Linuxi klientidega kaardistamine - 7. osa


See juhendaja juhendab teid jagatud kataloogi loomisel Samba AD DC süsteemis, selle jagatud köite kaardistamiseks GPO kaudu domeeni integreeritud Windowsi klientidega ja jagamislubade haldamiseks Windowsi domeenikontrolleri vaatenurgast.

Samuti käsitletakse seda, kuidas pääseda juurde failide jagamisele ja ühendada domeenis registreeritud Linuxi masinast, kasutades Samba4 domeenikontot.

  1. Looge Ubuntu Samba4 abil Active Directory infrastruktuur

1. samm: looge Samba failijagamine

1. Samba AD DC-s aktsia loomise protsess on väga lihtne ülesanne. Kõigepealt looge kataloog, mida soovite SMB-protokolli kaudu jagada, ja lisage failisüsteemile järgmised õigused, et võimaldada Windows AD DC administraatori kontol muuta jagamisõigusi vastavalt sellele, milliseid õigusi Windowsi kliendid peaksid nägema.

Eeldades, et uus failijagamine AD DC-s oleks kataloog /nas , käivitage õigete õiguste määramiseks järgmised käsud.

# mkdir /nas
# chmod -R 775 /nas
# chown -R root:"domain users" /nas
# ls -alh | grep nas

2. Kui olete loonud kataloogi, mis eksporditakse jagamisena Samba4 AD DC-st, peate jagamise SMB-protokolli kaudu kättesaadavaks tegemiseks lisama järgmised väited samba konfiguratsioonifailile.

# nano /etc/samba/smb.conf

Minge faili lõppu ja lisage järgmised read:

[nas]
	path = /nas
	read only = no

3. Viimane asi, mida peate tegema, on taaskäivitada Samba AD DC deemon, et muudatusi rakendada, väljastades järgmise käsu:

# systemctl restart samba-ad-dc.service

2. samm: hallake Samba jagamise õigusi

4. Kuna me pääseme sellele jagatud köitele juurde Windowsist, kasutame domeenikontosid (kasutajad ja rühmad), mis on loodud Samba AD DC-s (jagamisele pole mõeldud juurdepääsu Linuxi süsteemi kasutajatele).

Õiguste haldamise protsessi saab teha otse Windows Exploreris, samamoodi hallatakse õigusi mis tahes kausta Windows Exploreris.

Kõigepealt logige Windowsi masinasse sisse domeeni administraatoriõigustega Samba4 AD kontoga. Windowsi ühiskasutusse pääsemiseks ja lubade määramiseks tippige Windows Exploreri tee väljale Samba AD DC masina IP-aadress või hosti nimi või FQDN, millele eelneb kaks kaldkriipsu, ja jagamine peaks olema nähtav.

\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Õiguste muutmiseks klõpsake lihtsalt paremklõpsake jagamisel ja valige Atribuudid. Navigeerige vahekaardile Turvalisus ja jätkake vastavalt domeeni kasutajate ja grupeerimisõiguste muutmist. Lubade täpsustamiseks kasutage nuppu Täpsem.

Kasutage allolevat ekraanipilti väljavõttena, kuidas häälestada konkreetsete Samba AD DC autentitud kontode õigusi.

6. Teine meetod, mida saate ühiskasutusõiguste haldamiseks kasutada, on arvuti haldamine -> ühenduse loomine teise arvutiga.

Navigeerige jaotisse Aktsiad, paremklõpsake jagamisel, mille õigusi soovite muuta, valige Atribuudid ja liikuge vahekaardile Turvalisus. Siit saate failide jagamise lubade abil õigusi muuta soovitud viisil, nagu on näidatud eelmises meetodis.

3. samm: kaardistage Samba failide jagamine GPO kaudu

7. Domeeni rühmapoliitika kaudu eksporditud samba failijagamise automaatseks ühendamiseks avage kõigepealt arvutisse installitud RSAT-tööriistad, avage AD UC utiliit, paremklõpsake oma domeeninimel ja valige Uus -> Jagatud kaust.

8. Lisage jagatud köite nimi ja sisestage võrgu tee, kus teie jagamine asub, nagu on näidatud alloleval pildil. Kui olete lõpetanud, vajutage nuppu OK ja aktsia peaks olema nüüd õiges tasapinnas nähtav.

9. Järgmisena avage grupipoliitika haldamise konsool, laiendage oma domeeni domeeni vaikepoliitika skripti ja avage fail redigeerimiseks.

Navigeerige GPM-i redaktorist jaotisse Kasutajakonfiguratsioon -> Eelistused -> Windowsi seaded ja paremklõpsake Drive Maps ja valige Uus -> Kaarditud draiv.

10. Uues aknas otsige ja lisage jagamise võrgu asukoht, vajutades kolme punktiga parempoolset nuppu, märkige ruut Ühenda uuesti, lisage selle jagamise silt, valige selle draivi täht ja vajutage konfiguratsiooni salvestamiseks ja rakendamiseks nuppu OK .

11. Lõpuks avage kohalikus arvutis GPO muudatuste sundimiseks ja rakendamiseks ilma süsteemi taaskäivitamiseta käsuviip ja käivitage järgmine käsk.

gpupdate /force

12. Kui reegel on teie arvutis edukalt rakendatud, avage Windows Explorer ja jagatud võrgu maht peaks olema nähtav ja juurdepääsetav, sõltuvalt sellest, millised õigused olete jagamise jaoks eelmiste sammude korral andnud.

Jagamine on teistele teie võrgu klientidele nähtav pärast nende süsteemi taaskäivitamist või uuesti sisselogimist, kui rühmapoliitika pole käsurealt sunnitud.

4. samm: pääsege Samba jagatud köitele juurde Linuxi klientidest

13. Linuxi kasutajad Samba AD DC-sse registreeritud masinatest saavad lokaalselt juurde pääseda või selle ka monteerida, autentides süsteemi Samba kontoga.

Esiteks peavad nad tagama, et nende süsteemidesse on installitud järgmised samba kliendid ja utiliidid, väljastades alltoodud käsu.

$ sudo apt-get install smbclient cifs-utils

14. Eksporditud aktsiate loetlemiseks kasutage oma domeenis konkreetset domeenikontrolleri masinat, kasutage järgmist käsku:

$ smbclient –L your_domain_controller –U%
or
$ smbclient –L \\adc1 –U%

15. Domeenikontoga käsureal samba jagamisega interaktiivseks ühendamiseks kasutage järgmist käsku:

$ sudo smbclient //adc/share_name -U domain_user

Käsureal saate loetleda jagamise sisu, faile alla laadida või alla laadida või muid ülesandeid täita. Kas kasutada? loetleda kõik saadaolevad smbclient-käsud.

16. Samba jagamise ühendamiseks Linuxi masinasse kasutage allolevat käsku.

$ sudo mount //adc/share_name /mnt -o username=domain_user

Asendage vastavalt host, aktsia nimi, liitumispunkt ja domeeni kasutaja. Kasutage grepiga ühendatud käsku mount, et filtreerida ainult CIF-avaldiste järgi.

Mõne lõpliku järeldusena töötavad Samba4 AD DC-s konfigureeritud aktsiad ainult Windowsi juurdepääsu kontrollnimekirjadega (ACL), mitte POSIX-i ACL-idega.

Konfigureerige Samba domeeniliikmena failijagamistega, et saavutada võrgu jagamise muid võimalusi. Samuti konfigureerige täiendavas domeenikontrolleris enne võrguaktsiate eksportimise alustamist Windbinddi deemon - 2. samm.