Recherche de site Web

Créer un répertoire partagé sur Samba AD DC et mapper aux clients Windows/Linux - Partie 7

Ce didacticiel vous expliquera comment créer un répertoire partagé sur le système Samba AD DC, mapper ce volume partagé aux clients Windows intégrés au domaine via GPO et gérer les autorisations de partage du point de vue du contrôleur de domaine Windows.

Il expliquera également comment accéder et monter le partage de fichiers à partir d'une machine Linux inscrite dans un domaine à l'aide d'un compte de domaine Samba4.

Exigences:

  1. Créer une infrastructure Active Directory avec Samba4 sur Ubuntu

Étape 1 : Créer un partage de fichiers Samba

1. Le processus de création d'un partage sur Samba AD DC est une tâche très simple. Créez d'abord un répertoire que vous souhaitez partager via le protocole SMB et ajoutez les autorisations ci-dessous sur le système de fichiers afin de permettre à un compte administrateur Windows AD DC de modifier les autorisations de partage en fonction des autorisations que les clients Windows devraient voir.

En supposant que le nouveau partage de fichiers sur AD DC soit le répertoire /nas, exécutez les commandes ci-dessous pour attribuer les autorisations appropriées.


mkdir /nas
chmod -R 775 /nas
chown -R root:"domain users" /nas
ls -alh | grep nas

2. Après avoir créé le répertoire qui sera exporté en tant que partage depuis Samba4 AD DC, vous devez ajouter les instructions suivantes au fichier de configuration samba afin de faire le partage disponible via le protocole SMB.


nano /etc/samba/smb.conf

Allez en bas du fichier et ajoutez les lignes suivantes :


[nas]
	path = /nas
	read only = no

3. La dernière chose que vous devez faire est de redémarrer le démon Samba AD DC afin d'appliquer les modifications en exécutant la commande ci-dessous :


systemctl restart samba-ad-dc.service

Étape 2 : Gérer les autorisations de partage Samba

4. Puisque nous accédons à ce volume partagé depuis Windows, en utilisant des comptes de domaine (utilisateurs et groupes) créés sur Samba AD DC (le partage n'est pas destiné à être accessibles par les utilisateurs du système Linux).

Le processus de gestion des autorisations peut être effectué directement à partir de l'Explorateur Windows, de la même manière que les autorisations sont gérées pour n'importe quel dossier dans l'Explorateur Windows.

Tout d'abord, connectez-vous à la machine Windows avec un compte Samba4 AD avec des privilèges administratifs sur le domaine. Afin d'accéder au partage depuis Windows et de définir les autorisations, tapez l'adresse IP ou le nom d'hôte ou le nom de domaine complet de la machine Samba AD DC dans le champ du chemin de l'Explorateur Windows, précédé de deux barres obliques inverses, et le partage devrait être visible.


\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. Pour modifier les autorisations, faites un clic droit sur le partage et choisissez Propriétés. Accédez à l'onglet Sécurité et procédez à la modification des utilisateurs du domaine et des autorisations de groupe en conséquence. Utilisez le bouton Avancé pour affiner les autorisations.

Utilisez la capture d'écran ci-dessous comme extrait pour savoir comment régler les autorisations pour des comptes authentifiés Samba AD DC spécifiques.

6. Une autre méthode que vous pouvez utiliser pour gérer les autorisations de partage consiste à utiliser Gestion de l'ordinateur -> Se connecter à un autre ordinateur.

Accédez à Partages, faites un clic droit sur le partage dont vous souhaitez modifier les autorisations, choisissez Propriétés et accédez à l'onglet Sécurité. À partir de là, vous pouvez modifier les autorisations comme vous le souhaitez, comme présenté dans la méthode précédente en utilisant les autorisations de partage de fichiers.

Étape 3 : mapper le partage de fichiers Samba via GPO

7. Pour monter automatiquement le partage de fichiers Samba exporté via la stratégie de groupe du domaine, d'abord sur une machine sur laquelle les outils RSAT sont installés, ouvrez l'utilitaire AD UC, faites un clic droit sur votre nom de domaine, puis choisissez Nouveau -> Dossier partagé.

8. Ajoutez un nom pour le volume partagé et entrez le chemin réseau où se trouve votre partage, comme illustré sur l'image ci-dessous. Appuyez sur OK lorsque vous avez terminé et le partage devrait maintenant être visible sur le plan de droite.

9. Ensuite, ouvrez la console de Gestion des stratégies de groupe, développez le script Politique de domaine par défaut de votre domaine et ouvrez le fichier pour le modifier.

Dans l'Éditeur GPM, accédez à Configuration utilisateur -> Préférences -> Paramètres Windows et cliquez avec le bouton droit sur Drive Maps et choisissez Nouveau -> Lecteur mappé.

10. Dans la nouvelle fenêtre, recherchez et ajoutez l'emplacement réseau pour le partage en appuyant sur le bouton droit avec trois points, cochez la case Reconnecter, ajoutez une étiquette pour ce partage, choisissez la lettre de ce lecteur et appuyez sur le bouton OK pour enregistrer et appliquer la configuration.

11. Enfin, afin de forcer et d'appliquer les modifications de GPO sur votre ordinateur local sans redémarrage du système, ouvrez une Invite de commandes et exécutez la commande suivante commande.


gpupdate /force

12. Une fois la stratégie appliquée avec succès sur votre ordinateur, ouvrez l'Explorateur Windows et le volume réseau partagé devrait être visible et accessible, en fonction des autorisations que vous avez accordées. le partage sur les étapes précédentes.

Le partage sera visible pour les autres clients de votre réseau après leur redémarrage ou leur reconnexion à leurs systèmes si la stratégie de groupe n'est pas forcée depuis la ligne de commande.

Étape 4 : accéder au volume partagé Samba à partir des clients Linux

13. Les utilisateurs Linux des machines inscrites dans Samba AD DC peuvent également accéder au partage ou le monter localement en s'authentifiant sur le système avec un compte Samba.

Tout d’abord, ils doivent s’assurer que les clients et utilitaires samba suivants sont installés sur leurs systèmes en exécutant la commande ci-dessous.


sudo apt-get install smbclient cifs-utils

14. Afin de répertorier les partages exportés que votre domaine fournit pour une machine de contrôleur de domaine spécifique, utilisez la commande ci-dessous :


smbclient –L your_domain_controller –U%
or
smbclient –L \\adc1 –U%

15. Pour vous connecter de manière interactive à un partage Samba à partir d'une ligne de commande avec un compte de domaine, utilisez la commande suivante :


sudo smbclient //adc/share_name -U domain_user

Sur la ligne de commande, vous pouvez répertorier le contenu du partage, télécharger ou charger des fichiers sur le partage ou effectuer d'autres tâches. Utiliser ? pour répertorier toutes les commandes smbclient disponibles.

16. Pour monter un partage samba sur une machine Linux, utilisez la commande ci-dessous.


sudo mount //adc/share_name /mnt -o username=domain_user

Remplacez l'hôte, le nom de partage, le point de montage et l'utilisateur de domaine en conséquence. Utilisez la commande mount redirigée avec grep pour filtrer uniquement par expression cifs.

En conclusion, les partages configurés sur un Samba4 AD DC fonctionneront uniquement avec les listes de contrôle d'accès Windows (ACL), et non avec les ACL POSIX.

Configurez Samba en tant que membre du domaine avec des partages de fichiers afin d'obtenir d'autres fonctionnalités pour un partage réseau. De plus, sur un contrôleur de domaine supplémentaire, configurez le démon Windbindd – Étape deux – avant de commencer à exporter des partages réseau.