Pesquisa de site

Crie um diretório compartilhado no Samba AD DC e mapeie para clientes Windows/Linux - Parte 7

Este tutorial irá guiá-lo sobre como criar um diretório compartilhado no sistema Samba AD DC, mapear este volume compartilhado para clientes Windows integrados ao domínio via GPO e gerenciar permissões de compartilhamento da perspectiva do controlador de domínio do Windows.

Também abordará como acessar e montar o compartilhamento de arquivos de uma máquina Linux inscrita no domínio usando uma conta de domínio Samba4.

Requisitos:

  1. Crie uma infraestrutura do Active Directory com Samba4 no Ubuntu

Etapa 1: criar compartilhamento de arquivos Samba

1. O processo de criação de um compartilhamento no Samba AD DC é uma tarefa muito simples. Primeiro, crie um diretório que deseja compartilhar via protocolo SMB e adicione as permissões abaixo no sistema de arquivos para permitir que uma conta de administrador do Windows AD DC modifique as permissões de compartilhamento de acordo com as permissões que os clientes Windows devem ver.

Supondo que o novo compartilhamento de arquivo no AD DC seja o diretório /nas, execute os comandos abaixo para atribuir as permissões corretas.


mkdir /nas
chmod -R 775 /nas
chown -R root:"domain users" /nas
ls -alh | grep nas

2. Depois de criar o diretório que será exportado como um compartilhamento do Samba4 AD DC, você precisa adicionar as seguintes instruções ao arquivo de configuração do samba para fazer o compartilhamento disponível via protocolo SMB.


nano /etc/samba/smb.conf

Vá até o final do arquivo e adicione as seguintes linhas:


[nas]
	path = /nas
	read only = no

3. A última coisa que você precisa fazer é reiniciar o daemon Samba AD DC para aplicar as alterações emitindo o comando abaixo:


systemctl restart samba-ad-dc.service

Etapa 2: gerenciar permissões de compartilhamento do Samba

4. Como estamos acessando este volume compartilhado no Windows, usando contas de domínio (usuários e grupos) criadas no Samba AD DC (o compartilhamento não deve ser acessado por usuários do sistema Linux).

O processo de gerenciamento de permissões pode ser feito diretamente no Windows Explorer, da mesma forma que as permissões são gerenciadas para qualquer pasta no Windows Explorer.

Primeiro, faça logon na máquina Windows com uma conta Samba4 AD com privilégios administrativos no domínio. Para acessar o compartilhamento do Windows e definir as permissões, digite o endereço IP ou nome do host ou FQDN da máquina Samba AD DC no campo caminho do Windows Explorer, precedido por duas barras invertidas, e o compartilhamento deverá estar visível.


\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Para modificar as permissões, basta clicar com o botão direito no compartilhamento e escolher Propriedades. Navegue até a guia Segurança e prossiga alterando os usuários do domínio e as permissões do grupo de acordo. Use o botão Avançado para ajustar as permissões.

Use a captura de tela abaixo como um trecho de como ajustar permissões para contas específicas autenticadas pelo Samba AD DC.

6. Outro método que você pode usar para gerenciar as permissões de compartilhamento é em Gerenciamento do Computador -> Conectar a outro computador.

Navegue até Compartilhamentos, clique com o botão direito no compartilhamento cujas permissões deseja modificar, escolha Propriedades e vá para a guia Segurança. A partir daqui, você pode alterar as permissões da maneira que desejar, conforme apresentado no método anterior, usando permissões de compartilhamento de arquivos.

Etapa 3: Mapeie o compartilhamento de arquivos Samba via GPO

7. Para montar automaticamente o compartilhamento de arquivo samba exportado por meio da Política de Grupo do domínio, primeiro em uma máquina com ferramentas RSAT instaladas, abra o utilitário AD UC, clique com o botão direito no nome do seu domínio e escolha Novo -> Pasta Compartilhada.

8. Adicione um nome para o volume compartilhado e insira o caminho da rede onde seu compartilhamento está localizado conforme ilustrado na imagem abaixo. Clique em OK quando terminar e o compartilhamento agora deverá estar visível no plano certo.

9. Em seguida, abra o console de Gerenciamento de Política de Grupo, expanda para o script Política de Domínio Padrão do seu domínio e abra o arquivo para edição.

No Editor GPM navegue até Configuração do usuário -> Preferências -> Configurações do Windows e clique com o botão direito em Drive Maps e escolha Novo -> Unidade mapeada.

10. Na nova janela pesquise e adicione o local de rede para o compartilhamento pressionando o botão direito com três pontos, marque a caixa de seleção Reconectar, adicione um rótulo para este compartilhamento, escolha a letra desta unidade e clique no botão OK para salvar e aplicar a configuração.

11. Finalmente, para forçar e aplicar alterações de GPO em sua máquina local sem reiniciar o sistema, abra um Prompt de comando e execute o seguinte comando.


gpupdate /force

12. Depois que a política for aplicada com sucesso em sua máquina, abra o Windows Explorer e o volume de rede compartilhado deverá estar visível e acessível, dependendo das permissões que você concedeu. o compartilhamento nas etapas anteriores.

O compartilhamento ficará visível para outros clientes em sua rede após a reinicialização ou login novamente em seus sistemas, se a política de grupo não for forçada na linha de comando.

Etapa 4: acesse o volume compartilhado do Samba a partir de clientes Linux

13. Usuários Linux de máquinas registradas no Samba AD DC também podem acessar ou montar o compartilhamento localmente autenticando-se no sistema com uma conta Samba.

Primeiro, eles precisam garantir que os seguintes clientes e utilitários samba estejam instalados em seus sistemas, emitindo o comando abaixo.


sudo apt-get install smbclient cifs-utils

14. Para listar os compartilhamentos exportados que seu domínio fornece para uma máquina controladora de domínio específica, use o comando abaixo:


smbclient –L your_domain_controller –U%
or
smbclient –L \\adc1 –U%

15. Para conectar-se interativamente a um compartilhamento samba a partir da linha de comando com uma conta de domínio, use o seguinte comando:


sudo smbclient //adc/share_name -U domain_user

Na linha de comando você pode listar o conteúdo do compartilhamento, fazer download ou upload de arquivos para o compartilhamento ou realizar outras tarefas. Usar ? para listar todos os comandos smbclient disponíveis.

16. Para montar um compartilhamento samba em uma máquina Linux use o comando abaixo.


sudo mount //adc/share_name /mnt -o username=domain_user

Substitua o host, o nome do compartilhamento, o ponto de montagem e o usuário do domínio de acordo. Use o comando mount canalizado com grep para filtrar apenas pela expressão cifs.

Como conclusões finais, os compartilhamentos configurados em um Samba4 AD DC funcionarão apenas com listas de controle de acesso do Windows (ACL), e não com ACLs POSIX.

Configure o Samba como membro do domínio com compartilhamentos de arquivos para obter outros recursos para um compartilhamento de rede. Além disso, em um controlador de domínio adicional, configure o daemon Windbindd – Etapa Dois – antes de começar a exportar compartilhamentos de rede.