Crear un directorio compartido en Samba AD DC y asignarlo a clientes Windows/Linux - Parte 7


Este tutorial lo guiará sobre cómo crear un directorio compartido en el sistema Samba AD DC, asignar este volumen compartido a los clientes de Windows integrados en el dominio a través de GPO y administrar los permisos compartidos desde la perspectiva del controlador de dominio de Windows.

También cubrirá cómo acceder y montar el recurso compartido de archivos desde una máquina Linux inscrita en un dominio usando una cuenta de dominio Samba4.

  1. Cree una infraestructura de Active Directory con Samba4 en Ubuntu

Paso 1: Crear recurso compartido de archivos Samba

1. El proceso de creación de un recurso compartido en Samba AD DC es una tarea muy sencilla. Primero cree un directorio que desee compartir a través del protocolo SMB y agregue los siguientes permisos en el sistema de archivos para permitir que una cuenta de administrador de Windows AD DC modifique los permisos compartidos de acuerdo con los permisos que los clientes de Windows deberían ver.

Suponiendo que el nuevo recurso compartido de archivos en AD DC sería el directorio /nas , ejecute los siguientes comandos para asignar los permisos correctos.

# mkdir /nas
# chmod -R 775 /nas
# chown -R root:"domain users" /nas
# ls -alh | grep nas

2. Después de haber creado el directorio que se exportará como recurso compartido desde Samba4 AD DC, debe agregar las siguientes declaraciones al archivo de configuración de samba para que el recurso compartido esté disponible a través del protocolo SMB.

# nano /etc/samba/smb.conf

Vaya al final del archivo y agregue las siguientes líneas:

[nas]
	path = /nas
	read only = no

3. Lo último que debe hacer es reiniciar el demonio Samba AD DC para aplicar los cambios emitiendo el siguiente comando:

# systemctl restart samba-ad-dc.service

Paso 2: administrar los permisos de uso compartido de Samba

4. Dado que estamos accediendo a este volumen compartido desde Windows, usando cuentas de dominio (usuarios y grupos) que se crean en Samba AD DC (el recurso compartido no debe ser accedido por usuarios del sistema Linux).

El proceso de administración de permisos se puede realizar directamente desde el Explorador de Windows, de la misma manera que se administran los permisos para cualquier carpeta en el Explorador de Windows.

Primero, inicie sesión en la máquina Windows con una cuenta Samba4 AD con privilegios administrativos en el dominio. Para acceder al recurso compartido desde Windows y establecer los permisos, escriba la dirección IP o el nombre de host o FQDN de la máquina Samba AD DC en el campo de ruta del Explorador de Windows, precedido por dos barras diagonales inversas, y el recurso compartido debería estar visible.

\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Para modificar los permisos, simplemente haga clic con el botón derecho en el recurso compartido y seleccione Propiedades. Vaya a la pestaña Seguridad y proceda a modificar los permisos de grupos y usuarios del dominio en consecuencia. Utilice el botón Avanzado para ajustar los permisos.

Utilice la siguiente captura de pantalla como un extracto sobre cómo ajustar los permisos para cuentas autenticadas de Samba AD DC específicas.

6. Otro método que puede utilizar para administrar los permisos compartidos es desde Administración de equipos -> Conectarse a otro equipo.

Vaya a Recursos compartidos, haga clic con el botón derecho en el recurso compartido cuyos permisos desea modificar, elija Propiedades y vaya a la pestaña Seguridad. Desde aquí, puede modificar los permisos de la forma que desee, tal como se presentó en el método anterior, utilizando permisos para compartir archivos.

Paso 3: Asigne el recurso compartido de archivos de Samba a través de GPO

7. Para montar automáticamente el recurso compartido de archivos samba exportado a través de la Política de grupo de dominio, primero en una máquina con herramientas RSAT instaladas, abra la utilidad AD UC, haga clic con el botón derecho en su nombre de dominio y, luego, elija Nuevo -> Carpeta compartida.

8. Agregue un nombre para el volumen compartido e ingrese la ruta de red donde se encuentra su recurso compartido como se ilustra en la imagen de abajo. Haga clic en Aceptar cuando haya terminado y el recurso compartido ahora debería ser visible en el plano correcto.

9. A continuación, abra la consola de administración de políticas de grupo, expanda el script de la política de dominio predeterminada de su dominio y abra el archivo para editarlo.

En el Editor de GPM, vaya a Configuración de usuario -> Preferencias -> Configuración de Windows y haga clic con el botón derecho en Mapas de unidad y elija Nuevo -> Unidad asignada.

10. En la nueva ventana, busque y agregue la ubicación de red para el recurso compartido presionando el botón derecho con tres puntos, marque la casilla de verificación Reconectar, agregue una etiqueta para este recurso compartido, elija la letra para esta unidad y presione el botón Aceptar para guardar y aplicar la configuración .

11. Finalmente, para forzar y aplicar cambios de GPO en su máquina local sin reiniciar el sistema, abra un símbolo del sistema y ejecute el siguiente comando.

gpupdate /force

12. Una vez que la política se haya aplicado correctamente en su máquina, abra el Explorador de Windows y el volumen de red compartido debería estar visible y accesible, según los permisos que haya otorgado para el recurso compartido en los pasos anteriores.

El recurso compartido será visible para otros clientes en su red después de que reinicien o vuelvan a iniciar sesión en sus sistemas si la política de grupo no se fuerza desde la línea de comandos.

Paso 4: Acceda al volumen compartido de Samba desde clientes Linux

13. Los usuarios de Linux de máquinas que están inscritas en Samba AD DC también pueden acceder o montar el recurso compartido localmente al autenticarse en el sistema con una cuenta de Samba.

Primero, deben asegurarse de que los siguientes clientes y utilidades de samba estén instalados en sus sistemas emitiendo el siguiente comando.

$ sudo apt-get install smbclient cifs-utils

14. Para enumerar los recursos compartidos exportados que su dominio proporciona para una máquina controladora de dominio específica, use el siguiente comando:

$ smbclient –L your_domain_controller –U%
or
$ smbclient –L \\adc1 –U%

15. Para conectarse de forma interactiva a un recurso compartido de samba desde la línea de comandos con una cuenta de dominio, utilice el siguiente comando:

$ sudo smbclient //adc/share_name -U domain_user

En la línea de comando puede enumerar el contenido del recurso compartido, descargar o cargar archivos al recurso compartido o realizar otras tareas. Usar ? para enumerar todos los comandos smbclient disponibles.

16. Para montar un recurso compartido de samba en una máquina Linux, utilice el siguiente comando.

$ sudo mount //adc/share_name /mnt -o username=domain_user

Reemplace el host, el nombre del recurso compartido, el punto de montaje y el usuario del dominio en consecuencia. Use el comando mount conectado con grep para filtrar solo por expresión cifs.

Como conclusiones finales, los recursos compartidos configurados en un Samba4 AD DC funcionarán solo con las listas de control de acceso (ACL) de Windows, no con las ACL POSIX.

Configure Samba como miembro del dominio con recursos compartidos de archivos para lograr otras capacidades para un recurso compartido de red. Además, en un controlador de dominio adicional, configure el demonio Windbindd, paso dos, antes de comenzar a exportar recursos compartidos de red.