Búsqueda de sitios web

Crear un directorio compartido en Samba AD DC y asignarlo a clientes Windows/Linux - Parte 7

Este tutorial lo guiará sobre cómo crear un directorio compartido en el sistema Samba AD DC, asignar este volumen compartido a clientes de Windows integrados en el dominio a través de GPO y administrar los permisos compartidos desde la perspectiva del controlador de dominio de Windows.

También cubrirá cómo acceder y montar el archivo compartido desde una máquina Linux inscrita en el dominio usando una cuenta de dominio Samba4.

Requisitos:

  1. Cree una infraestructura de Active Directory con Samba4 en Ubuntu

Paso 1: crear un recurso compartido de archivos Samba

1. El proceso de creación de un recurso compartido en Samba AD DC es una tarea muy sencilla. Primero cree un directorio que desee compartir a través del protocolo SMB y agregue los siguientes permisos en el sistema de archivos para permitir que una cuenta de administrador de Windows AD DC modifique los permisos compartidos de acuerdo con los permisos que deberían ver los clientes de Windows.

Suponiendo que el nuevo recurso compartido de archivos en AD DC sería el directorio /nas, ejecute los siguientes comandos para asignar los permisos correctos.


mkdir /nas
chmod -R 775 /nas
chown -R root:"domain users" /nas
ls -alh | grep nas

2. Después de haber creado el directorio que se exportará como recurso compartido desde Samba4 AD DC, debe agregar las siguientes instrucciones al archivo de configuración de Samba para poder realizar el recurso compartido disponible a través del protocolo SMB.


nano /etc/samba/smb.conf

Vaya al final del archivo y agregue las siguientes líneas:


[nas]
	path = /nas
	read only = no

3. Lo último que debe hacer es reiniciar el demonio Samba AD DC para aplicar los cambios emitiendo el siguiente comando:


systemctl restart samba-ad-dc.service

Paso 2: Administrar los permisos compartidos de Samba

4. Dado que accedemos a este volumen compartido desde Windows, utilizamos cuentas de dominio (usuarios y grupos) que se crean en Samba AD DC (el recurso compartido no está destinado a ser a los que acceden los usuarios del sistema Linux).

El proceso de administración de permisos se puede realizar directamente desde el Explorador de Windows, de la misma manera que se administran los permisos para cualquier carpeta en el Explorador de Windows.

Primero, inicie sesión en una máquina Windows con una cuenta Samba4 AD con privilegios administrativos en el dominio. Para acceder al recurso compartido desde Windows y establecer los permisos, escriba la dirección IP o el nombre de host o FQDN de la máquina Samba AD DC en el campo de ruta del Explorador de Windows, precedido por dos barras diagonales inversas, y el recurso compartido debería estar visible.


\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Para modificar los permisos simplemente haga clic derecho en el recurso compartido y elija Propiedades. Navegue a la pestaña Seguridad y continúe modificando los usuarios del dominio y los permisos de grupo en consecuencia. Utilice el botón Avanzado para ajustar los permisos.

Utilice la siguiente captura de pantalla como un extracto sobre cómo ajustar los permisos para cuentas autenticadas de Samba AD DC específicas.

6. Otro método que puede utilizar para administrar los permisos compartidos es desde Administración de computadoras -> Conectar a otra computadora.

Navegue hasta Compartidos, haga clic derecho en el recurso compartido cuyos permisos desea modificar, elija Propiedades y vaya a la pestaña Seguridad. Desde aquí puede modificar los permisos de la forma que desee, tal como se presentó en el método anterior utilizando permisos para compartir archivos.

Paso 3: Asigne el recurso compartido de archivos Samba a través de GPO

7. Para montar automáticamente el archivo compartido samba exportado a través de la Política de grupo del dominio, primero en una máquina con las herramientas RSAT instaladas, abra la utilidad AD UC, Haga clic derecho en su nombre de dominio y, luego, elija Nuevo -> Carpeta compartida.

8. Agregue un nombre para el volumen compartido e ingrese la ruta de red donde se encuentra su recurso compartido, como se ilustra en la imagen a continuación. Presiona Aceptar cuando hayas terminado y el recurso compartido ahora debería estar visible en el plano derecho.

9. A continuación, abra la consola Administración de políticas de grupo, expanda el script Política de dominio predeterminada de su dominio y abra el archivo para editarlo.

En el Editor GPM, navegue hasta Configuración de usuario -> Preferencias -> Configuración de Windows y haga clic derecho en Drive Maps y elija Nuevo -> Unidad asignada.

10. En la nueva ventana busque y agregue la ubicación de red para el recurso compartido presionando el botón derecho con tres puntos, marque la casilla Reconectar, agregue una etiqueta para este recurso compartido, elija la letra de esta unidad y presione el botón Aceptar para guardar y aplicar la configuración.

11. Finalmente, para forzar y aplicar cambios de GPO en su máquina local sin reiniciar el sistema, abra un Símbolo del sistema y ejecute lo siguiente dominio.


gpupdate /force

12. Una vez que la política se haya aplicado correctamente en su máquina, abra el Explorador de Windows y el volumen de red compartido debería estar visible y accesible, dependiendo de los permisos que haya otorgado. la parte en los pasos anteriores.

El recurso compartido será visible para otros clientes en su red después de que reinicien o vuelvan a iniciar sesión en sus sistemas si la política de grupo no se fuerza desde la línea de comando.

Paso 4: acceda al volumen compartido de Samba desde clientes Linux

13. Los usuarios de Linux de máquinas que están inscritas en Samba AD DC también pueden acceder o montar el recurso compartido localmente autenticándose en el sistema con una cuenta Samba.

Primero, deben asegurarse de que los siguientes clientes y utilidades de Samba estén instalados en sus sistemas emitiendo el siguiente comando.


sudo apt-get install smbclient cifs-utils

14. Para enumerar los recursos compartidos exportados que su dominio proporciona para una máquina controladora de dominio específica, utilice el siguiente comando:


smbclient –L your_domain_controller –U%
or
smbclient –L \\adc1 –U%

15. Para conectarse interactivamente a un recurso compartido de samba desde la línea de comando con una cuenta de dominio, use el siguiente comando:


sudo smbclient //adc/share_name -U domain_user

En la línea de comando puede enumerar el contenido del recurso compartido, descargar o cargar archivos al recurso compartido o realizar otras tareas. Usar ? para enumerar todos los comandos de smbclient disponibles.

16. Para montar un recurso compartido de samba en una máquina Linux, utilice el siguiente comando.


sudo mount //adc/share_name /mnt -o username=domain_user

Reemplace el host, el nombre compartido, el punto de montaje y el usuario de dominio en consecuencia. Utilice el comando de montaje canalizado con grep para filtrar solo por expresión cifs.

Como conclusiones finales, los recursos compartidos configurados en un Samba4 AD DC funcionarán solo con listas de control de acceso de Windows (ACL), no con ACL POSIX.

Configure Samba como miembro de un dominio con recursos compartidos de archivos para lograr otras capacidades para un recurso compartido de red. Además, en un controlador de dominio adicional, configure el demonio Windbindd (paso dos) antes de comenzar a exportar recursos compartidos de red.