ウェブサイト検索

Samba AD DC 上に共有ディレクトリを作成し、Windows/Linux クライアントにマップする - パート 7


このチュートリアルでは、Samba AD DC システム上に共有ディレクトリを作成し、この共有ボリュームを GPO 経由でドメインに統合された Windows クライアントにマッピングし、Windows ドメイン コントローラーの観点から共有アクセス許可を管理する方法について説明します。

また、Samba4 ドメイン アカウントを使用してドメインに登録された Linux マシンからファイル共有にアクセスしてマウントする方法についても説明します。

要件:

  1. Ubuntu 上で Samba4 を使用して Active Directory インフラストラクチャを作成する

ステップ 1: Samba ファイル共有を作成する

1. Samba AD DC で共有を作成するプロセスは非常に簡単なタスクです。まず、SMB プロトコル経由で共有するディレクトリを作成し、ファイル システムに以下のアクセス許可を追加して、Windows AD DC 管理者アカウントが Windows クライアントに表示されるアクセス許可に応じて共有アクセス許可を変更できるようにします。

AD DC 上の新しいファイル共有が /nas ディレクトリであると仮定して、以下のコマンドを実行して正しいアクセス許可を割り当てます。


mkdir /nas
chmod -R 775 /nas
chown -R root:"domain users" /nas
ls -alh | grep nas

2. Samba4 AD DC から共有としてエクスポートされるディレクトリを作成した後、次のステートメントを samba 設定ファイルに追加する必要があります。 SMB プロトコル経由で利用可能な共有。


nano /etc/samba/smb.conf

ファイルの最後に移動し、次の行を追加します。


[nas]
	path = /nas
	read only = no

3. 最後に行う必要があるのは、以下のコマンドを発行して変更を適用するために Samba AD DC デーモンを再起動することです。


systemctl restart samba-ad-dc.service

ステップ 2: Samba 共有権限を管理する

4. この共有ボリュームには、Samba AD DC で作成されたドメイン アカウント (ユーザーとグループ) を使用して Windows からアクセスしているため (共有は意図されていません) Linux システム ユーザーがアクセスします)。

アクセス許可を管理するプロセスは、Windows エクスプローラーのフォルダーのアクセス許可を管理するのと同じ方法で、Windows エクスプローラー から直接実行できます。

まず、ドメインの管理者権限を持つSamba4 AD アカウントを使用して Windows マシンにログオンします。 Windows から共有にアクセスして権限を設定するには、Samba AD DC マシンの IP アドレス、ホスト名、または FQDN を Windows エクスプローラーのパス フィールドに入力し、その前にバック スラッシュを 2 つ入力すると、共有が表示されます。


\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5. 権限を変更するには、共有を右クリックし、プロパティを選択します。 [セキュリティ] タブに移動し、それに応じてドメイン ユーザーとグループの権限を変更します。権限を微調整するには、[詳細] ボタンを使用します。

特定のSamba AD DC 認証済みアカウントの権限を調整する方法の抜粋として、以下のスクリーンショットを使用してください。

6. 共有アクセス許可を管理するために使用できるその他の方法は、[コンピュータの管理] -> [接続] から別のコンピュータに接続することです。

共有に移動し、権限を変更する共有を右クリックしてプロパティを選択し、セキュリティタブに移動します。ここからは、ファイル共有アクセス許可を使用した前の方法で示したように、任意の方法でアクセス許可を変更できます。

ステップ 3: GPO を介して Samba ファイル共有をマッピングする

7. エクスポートされた samba ファイル共有をドメイン グループ ポリシー経由で自動的にマウントするには、まず RSAT ツールがインストールされているマシンで AD UC ユーティリティを開きます。ドメイン名を右クリックし、[新規] -> [共有フォルダ]を選択します。

8. 共有ボリュームの名前を追加し、下の図に示すように、共有が配置されているネットワーク パスを入力します。完了したら [OK] をクリックすると、共有が正しい平面に表示されるようになります。

9. 次に、グループ ポリシー管理 コンソールを開き、ドメインのデフォルト ドメイン ポリシー スクリプトを展開して、編集するファイルを開きます。

GPM エディタユーザー構成 -> 環境設定 -> Windows 設定に移動し、ドライブ マップを右クリックして新規 -> を選択します。マップされたドライブ

10. 新しいウィンドウで、3 点の右ボタンを押して共有のネットワークの場所を検索して追加し、再接続 チェックボックスをオンにし、この共有のラベルを追加して、このドライブの文字を入力し、OK ボタンを押して設定を保存し、適用します。

11. 最後に、システムを再起動せずにローカル マシンに GPO の変更を強制して適用するには、コマンド プロンプトを開いて次のコマンドを実行します。指示。


gpupdate /force

12. ポリシーがマシンに正常に適用されたら、Windows エクスプローラーを開くと、付与したアクセス許可に応じて、共有ネットワーク ボリュームが表示され、アクセスできるようになります。前のステップでの共有。

グループ ポリシーがコマンド ラインから強制されない場合、共有はネットワーク上の他のクライアントがシステムを再起動または再ログインした後に表示されます。

ステップ 4: Linux クライアントから Samba 共有ボリュームにアクセスする

13. Samba AD DC に登録されているマシンの Linux ユーザーは、Samba アカウントでシステムに認証することで、ローカルで共有にアクセスしたりマウントしたりすることもできます。

まず、次のコマンドを発行して、次の samba クライアントとユーティリティがシステムにインストールされていることを確認する必要があります。


sudo apt-get install smbclient cifs-utils

14. ドメインが特定のドメイン コントローラー マシンに提供するエクスポートされた共有を一覧表示するには、次のコマンドを使用します。


smbclient –L your_domain_controller –U%
or
smbclient –L \\adc1 –U%

15. ドメイン アカウントを使用してコマンド ラインから Samba 共有に対話的に接続するには、次のコマンドを使用します。


sudo smbclient //adc/share_name -U domain_user

コマンド ラインでは、共有のコンテンツの一覧表示、共有へのファイルのダウンロードまたはアップロード、またはその他のタスクの実行を行うことができます。使用 ?使用可能なすべての smbclient コマンドをリストします。

16. Linux マシンに samba 共有をマウントするには、以下のコマンドを使用します。


sudo mount //adc/share_name /mnt -o username=domain_user

ホスト共有名マウント ポイント、およびドメイン ユーザーを適宜置き換えます。 grep でパイプ接続された mount コマンドを使用して、cifs 式のみでフィルタリングします。

最終的な結論として、Samba4 AD DC 上で構成された共有は、POSIX ACL ではなく Windows アクセス コントロール リスト (ACL) でのみ機能します。

ネットワーク共有の他の機能を実現するには、Samba をファイル共有を持つドメイン メンバーとして構成します。また、ネットワーク共有のエクスポートを開始する前に、追加のドメイン コントローラーで Windbindd デーモンを構成します (ステップ 2)。