Website-Suche

Erstellen Sie ein freigegebenes Verzeichnis auf Samba AD DC und ordnen Sie es Windows/Linux-Clients zu – Teil 7

In diesem Tutorial erfahren Sie, wie Sie ein freigegebenes Verzeichnis auf dem Samba AD DC-System erstellen, dieses freigegebene Volume Windows-Clients zuordnen, die über GPO in die Domäne integriert sind, und Freigabeberechtigungen aus Sicht des Windows-Domänencontrollers verwalten.

Außerdem wird erläutert, wie Sie von einem in der Domäne registrierten Linux-Computer mit einem Samba4-Domänenkonto auf die Dateifreigabe zugreifen und diese bereitstellen.

Anforderungen:

  1. Erstellen Sie eine Active Directory-Infrastruktur mit Samba4 unter Ubuntu

Schritt 1: Samba-Dateifreigabe erstellen

1. Das Erstellen einer Freigabe auf Samba AD DC ist eine sehr einfache Aufgabe. Erstellen Sie zunächst ein Verzeichnis, das Sie über das SMB-Protokoll freigeben möchten, und fügen Sie dem Dateisystem die folgenden Berechtigungen hinzu, damit ein Windows AD DC-Administratorkonto die Freigabeberechtigungen entsprechend ändern kann, um festzulegen, welche Berechtigungen Windows-Clients sehen sollen.

Angenommen, die neue Dateifreigabe auf dem AD DC wäre das Verzeichnis /nas, führen Sie die folgenden Befehle aus, um die richtigen Berechtigungen zuzuweisen.


mkdir /nas
chmod -R 775 /nas
chown -R root:"domain users" /nas
ls -alh | grep nas

2. Nachdem Sie das Verzeichnis erstellt haben, das als Freigabe aus Samba4 AD DC exportiert wird, müssen Sie die folgenden Anweisungen zur Samba-Konfigurationsdatei hinzufügen, um Folgendes vorzunehmen die Freigabe ist über das SMB-Protokoll verfügbar.


nano /etc/samba/smb.conf

Gehen Sie zum Ende der Datei und fügen Sie die folgenden Zeilen hinzu:


[nas]
	path = /nas
	read only = no

3. Als letztes müssen Sie den Samba AD DC-Daemon neu starten, um die Änderungen zu übernehmen, indem Sie den folgenden Befehl ausführen:


systemctl restart samba-ad-dc.service

Schritt 2: Samba-Freigabeberechtigungen verwalten

4. Da wir von Windows aus auf dieses freigegebene Volume zugreifen, verwenden wir Domänenkonten (Benutzer und Gruppen), die auf Samba AD DC erstellt wurden (die Freigabe ist dafür nicht vorgesehen). Zugriff durch Linux-Systembenutzer).

Die Verwaltung von Berechtigungen kann direkt im Windows Explorer erfolgen, genauso wie Berechtigungen für jeden Ordner im Windows Explorer verwaltet werden.

Melden Sie sich zunächst mit einem Samba4 AD-Konto und Administratorrechten für die Domäne am Windows-Computer an. Um von Windows aus auf die Freigabe zuzugreifen und die Berechtigungen festzulegen, geben Sie die IP-Adresse oder den Hostnamen oder den FQDN der Samba AD DC-Maschine in das Pfadfeld des Windows Explorers ein, gefolgt von zwei umgekehrten Schrägstrichen, und die Freigabe sollte sichtbar sein.


\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Um Berechtigungen zu ändern, klicken Sie einfach mit der rechten Maustaste auf die Freigabe und wählen Sie Eigenschaften. Navigieren Sie zur Registerkarte Sicherheit und fahren Sie mit der entsprechenden Änderung der Domänenbenutzer und Gruppenberechtigungen fort. Verwenden Sie die Schaltfläche Erweitert, um die Berechtigungen zu verfeinern.

Verwenden Sie den folgenden Screenshot als Auszug zur Optimierung der Berechtigungen für bestimmte Samba AD DC-authentifizierte Konten.

6. Eine andere Methode, mit der Sie die Freigabeberechtigungen verwalten können, ist Computerverwaltung -> Verbinden mit einem anderen Computer.

Navigieren Sie zu Freigaben, klicken Sie mit der rechten Maustaste auf die Freigabe, deren Berechtigungen Sie ändern möchten, wählen Sie Eigenschaften und wechseln Sie zur Registerkarte Sicherheit. Von hier aus können Sie die Berechtigungen nach Ihren Wünschen ändern, wie in der vorherigen Methode mithilfe von Dateifreigabeberechtigungen dargestellt.

Schritt 3: Ordnen Sie die Samba-Dateifreigabe über GPO zu

7. Um die exportierte Samba-Dateifreigabe automatisch über die Domänen-Gruppenrichtlinie bereitzustellen, öffnen Sie zunächst auf einem Computer mit installierten RSAT-Tools das AD UC-Dienstprogramm. Klicken Sie mit der rechten Maustaste auf Ihren Domainnamen und wählen Sie dann Neu -> Freigegebener Ordner.

8. Fügen Sie einen Namen für das freigegebene Volume hinzu und geben Sie den Netzwerkpfad ein, in dem sich Ihre Freigabe befindet, wie im Bild unten dargestellt. Klicken Sie auf OK, wenn Sie fertig sind. Die Freigabe sollte nun auf der rechten Ebene sichtbar sein.

9. Öffnen Sie als Nächstes die Gruppenrichtlinienverwaltung-Konsole, erweitern Sie das Skript Ihrer Domäne Standarddomänenrichtlinie und öffnen Sie die Datei zur Bearbeitung.

Navigieren Sie im GPM-Editor zu Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Laufwerkskarten und wählen Sie Neu -> Zugeordnetes Laufwerk.

10. Suchen Sie im neuen Fenster nach dem Netzwerkstandort für die Freigabe und fügen Sie ihn hinzu, indem Sie auf die rechte Schaltfläche mit den drei Punkten klicken. Aktivieren Sie das Kontrollkästchen Erneut verbinden, fügen Sie eine Bezeichnung für diese Freigabe hinzu und wählen Sie Geben Sie den Buchstaben für dieses Laufwerk ein und klicken Sie auf die Schaltfläche OK, um die Konfiguration zu speichern und anzuwenden.

11. Um schließlich GPO-Änderungen auf Ihrem lokalen Computer ohne Systemneustart zu erzwingen und anzuwenden, öffnen Sie eine Eingabeaufforderung und führen Sie Folgendes aus Befehl.


gpupdate /force

12. Nachdem die Richtlinie erfolgreich auf Ihrem Computer angewendet wurde, öffnen Sie den Windows Explorer. Das freigegebene Netzwerkvolume sollte sichtbar und zugänglich sein, je nachdem, welche Berechtigungen Sie erteilt haben die Freigabe der vorherigen Schritte.

Die Freigabe ist für andere Clients in Ihrem Netzwerk sichtbar, nachdem diese neu gestartet oder sich erneut bei ihren Systemen angemeldet haben, sofern die Gruppenrichtlinie nicht über die Befehlszeile erzwungen wird.

Schritt 4: Greifen Sie über Linux-Clients auf das freigegebene Samba-Volume zu

13. Linux-Benutzer von Maschinen, die bei Samba AD DC registriert sind, können auch lokal auf die Freigabe zugreifen oder diese bereitstellen, indem sie sich beim System mit einem Samba-Konto authentifizieren.

Zunächst müssen sie sicherstellen, dass die folgenden Samba-Clients und -Dienstprogramme auf ihren Systemen installiert sind, indem sie den folgenden Befehl ausführen.


sudo apt-get install smbclient cifs-utils

14. Um die exportierten Freigaben aufzulisten, die Ihre Domäne für einen bestimmten Domänencontroller bereitstellt, verwenden Sie den folgenden Befehl:


smbclient –L your_domain_controller –U%
or
smbclient –L \\adc1 –U%

15. Um über die Befehlszeile mit einem Domänenkonto interaktiv eine Verbindung zu einer Samba-Freigabe herzustellen, verwenden Sie den folgenden Befehl:


sudo smbclient //adc/share_name -U domain_user

Über die Befehlszeile können Sie den Inhalt der Freigabe auflisten, Dateien auf die Freigabe herunterladen oder hochladen oder andere Aufgaben ausführen. Verwenden ? um alle verfügbaren smbclient-Befehle aufzulisten.

16. Um eine Samba-Freigabe auf einem Linux-Computer bereitzustellen, verwenden Sie den folgenden Befehl.


sudo mount //adc/share_name /mnt -o username=domain_user

Ersetzen Sie den Host, den Freigabenamen, den Bereitstellungspunkt und den Domänenbenutzer entsprechend. Verwenden Sie den mit grep weitergeleiteten Mount-Befehl, um nur nach CIFS-Ausdruck zu filtern.

Abschließende Schlussfolgerungen: Auf einem Samba4 AD DC konfigurierte Freigaben funktionieren nur mit Windows-Zugriffskontrolllisten (ACL), nicht mit POSIX-ACLs.

Konfigurieren Sie Samba als Domänenmitglied mit Dateifreigaben, um andere Funktionen für eine Netzwerkfreigabe zu erreichen. Konfigurieren Sie außerdem auf einem zusätzlichen Domänencontroller den Windbindd-Daemon – Schritt zwei – bevor Sie mit dem Exportieren von Netzwerkfreigaben beginnen.