Samba AD DCで共有ディレクトリを作成し、Windows / Linuxクライアントにマップする-パート7


このチュートリアルでは、Samba AD DCシステムで共有ディレクトリを作成し、この共有ボリュームをGPOを介してドメインに統合されたWindowsクライアントにマップし、Windowsドメインコントローラーの観点から共有アクセス許可を管理する方法について説明します。

また、Samba4ドメインアカウントを使用してドメインに登録されているLinuxマシンからファイル共有にアクセスしてマウントする方法についても説明します。

  1. Create an Active Directory Infrastructure with Samba4 on Ubuntu

ステップ1:Sambaファイル共有を作成する

1. Samba AD DCで共有を作成するプロセスは、非常に単純なタスクです。まず、SMBプロトコルを介して共有するディレクトリを作成し、ファイルシステムに以下のアクセス許可を追加して、Windows AD DC管理者アカウントが、Windowsクライアントに表示されるアクセス許可に応じて共有アクセス許可を変更できるようにします。

ADDCの新しいファイル共有が/nas ディレクトリであると想定して、以下のコマンドを実行して正しいアクセス許可を割り当てます。

# mkdir /nas
# chmod -R 775 /nas
# chown -R root:"domain users" /nas
# ls -alh | grep nas

2. Samba4 AD DCから共有としてエクスポートされるディレクトリを作成したら、SMBプロトコルを介して共有を使用できるようにするために、次のステートメントをSamba構成ファイルに追加する必要があります。

# nano /etc/samba/smb.conf

ファイルの最後に移動し、次の行を追加します。

[nas]
	path = /nas
	read only = no

3.最後に行う必要があるのは、以下のコマンドを発行して変更を適用するためにSamba ADDCデーモンを再起動することです。

# systemctl restart samba-ad-dc.service

ステップ2:Samba共有権限を管理する

4. Windowsからこの共有ボリュームにアクセスしているため、Samba AD DCで作成されたドメインアカウント(ユーザーとグループ)を使用します(共有はLinuxシステムユーザーによるアクセスを意図したものではありません)。

アクセス許可を管理するプロセスは、Windowsエクスプローラーの任意のフォルダーのアクセス許可を管理するのと同じ方法で、Windowsエクスプローラーから直接実行できます。

まず、ドメインの管理者権限を持つSamba4ADアカウントでWindowsマシンにログオンします。 Windowsから共有にアクセスしてアクセス許可を設定するには、WindowsエクスプローラーのパスフィールドにSamba AD DCマシンのIPアドレス、ホスト名、またはFQDNを入力し、その前に2つの円記号を付けます。共有が表示されます。

\\adc1
Or
\2.168.1.254
Or
\\adc1.tecmint.lan

5.権限を変更するには、共有を右クリックして[プロパティ]を選択します。 [セキュリティ]タブに移動し、それに応じてドメインユーザーとグループのアクセス許可を変更します。権限を微調整するには、[詳細設定]ボタンを使用します。

以下のスクリーンショットを、特定のSamba ADDC認証済みアカウントのアクセス許可を調整する方法の抜粋として使用してください。

6.共有権限を管理するために使用できる他の方法は、[コンピューターの管理]-> [別のコンピューターに接続する]からです。

[共有]に移動し、アクセス許可を変更する共有を右クリックして、[プロパティ]を選択し、[セキュリティ]タブに移動します。ここから、ファイル共有のアクセス許可を使用して、前の方法で示したように、任意の方法でアクセス許可を変更できます。

手順3:GPOを介してSambaファイル共有をマップする

7.ドメイングループポリシーを介してエクスポートされたSambaファイル共有を自動的にマウントするには、最初にRSATツールがインストールされているマシンで、AD UCユーティリティを開き、ドメイン名を右クリックして、[新規]-> [共有フォルダー]を選択します。

8.下の画像に示すように、共有ボリュームの名前を追加し、共有が配置されているネットワークパスを入力します。終了したら[OK]をクリックすると、共有が右側の平面に表示されます。

9.次に、グループポリシー管理コンソールを開き、ドメインの既定のドメインポリシースクリプトに展開して、編集用にファイルを開きます。

GPMエディターで、[ユーザーの構成]-> [設定]-> [Windowsの設定]に移動し、[ドライブマップ]を右クリックして、[新規]-> [マップされたドライブ]を選択します。

10.新しいウィンドウで検索し、3つのドットが付いた右ボタンを押して共有のネットワークの場所を追加し、[再接続]チェックボックスをオンにして、この共有のラベルを追加し、このドライブの文字を選択して、[OK]ボタンを押して構成を保存して適用します。

11.最後に、システムを再起動せずにローカルマシンにGPOの変更を強制して適用するには、コマンドプロンプトを開き、次のコマンドを実行します。

gpupdate /force

12.ポリシーがマシンに正常に適用されたら、Windowsエクスプローラーを開くと、前の手順で共有に付与したアクセス許可に応じて、共有ネットワークボリュームが表示され、アクセスできるようになります。

グループポリシーがコマンドラインから強制されない場合、共有は、ネットワーク上の他のクライアントがシステムを再起動または再ログインした後に表示されます。

ステップ4:LinuxクライアントからSamba共有ボリュームにアクセスする

13. Samba AD DCに登録されているマシンのLinuxユーザーは、Sambaアカウントを使用してシステムに認証することにより、ローカルで共有にアクセスまたはマウントすることもできます。

まず、以下のコマンドを発行して、次のSambaクライアントとユーティリティがシステムにインストールされていることを確認する必要があります。

$ sudo apt-get install smbclient cifs-utils

14.ドメインが特定のドメインコントローラーマシンに提供するエクスポートされた共有を一覧表示するには、次のコマンドを使用します。

$ smbclient –L your_domain_controller –U%
or
$ smbclient –L \\adc1 –U%

15.ドメインアカウントを使用してコマンドラインからSamba共有にインタラクティブに接続するには、次のコマンドを使用します。

$ sudo smbclient //adc/share_name -U domain_user

コマンドラインで、共有のコンテンツを一覧表示したり、ファイルを共有にダウンロードまたはアップロードしたり、その他のタスクを実行したりできます。使用する ?使用可能なすべてのsmbclientコマンドを一覧表示します。

16. LinuxマシンにSamba共有をマウントするには、以下のコマンドを使用します。

$ sudo mount //adc/share_name /mnt -o username=domain_user

それに応じて、ホスト、共有名、マウントポイント、およびドメインユーザーを置き換えます。 grepでパイプされたmountコマンドを使用して、cifs式のみでフィルタリングします。

いくつかの最終的な結論として、Samba4 AD DCで構成された共有は、POSIX ACLではなく、Windowsアクセス制御リスト(ACL)でのみ機能します。

ネットワーク共有の他の機能を実現するために、Sambaをファイル共有を持つドメインメンバーとして構成します。また、追加のドメインコントローラーで、ネットワーク共有のエクスポートを開始する前に、Windbinddデーモンを構成します(ステップ2)。