Samba 系列（七）：在 Samba AD DC 伺服器上創建共享目錄並映射到 Windows/Linux 客戶

需求：

1、在 Ubuntu 系統上使用 Samba4 來創建活動目錄架構

2、在 Linux 命令行下管理 Samba4 AD 架構

3、使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構

4、在 Windows 下管理 Samba4 AD 域管制器 DNS 和組策略

5、將另一台 Ubuntu DC 伺服器加入到 Samba4 AD DC 實現雙域控主機模式

6、使用 Rsync 命令同步兩個 Samba4 AD DC 之間的 SysVol 目錄

第一步：創建 Samba 文件共享

1、在 Samba AD DC 伺服器上創建共享非常簡單。首先創建一個你想通過 SMB 協議來分享文件的目錄，然後添加下面的文件系統許可權，這是為了讓 Windows AD DC 管理員給 Windows 客戶端分配相應的共享許可權。

假設在 AD DC 伺服器上有一個新的共享目錄 '/nas' ，執行下面的命令來授予必要的許可權。

# mkdir /nas
# chmod -R 775 /nas
# chown -R root:"domain users" /nas
# ls -alh | grep nas

創建 Samba 共享目錄

2、當你在 Samba4 AD DC 伺服器上創建完成共享目錄之後，你還得修改 samba 配置文件，添加下面的參數以允許通過 SMB 協議來共享文件。

# nano /etc/samba/smb.conf

在配置文件末尾添加以下內容：

[nas]
path = /nas
read only = no

配置 Samba 共享目錄

3、最後，你需要通過下面的命令重啟 Samba AD DC 服務，以讓修改的配置生效：

# systemctl restart samba-ad-dc.service

第二步：管理 Samba 共享許可權

4、我們準備使用在 Samba AD DC 伺服器上創建的域帳號（包括用戶和組）來訪問這個共享目錄（禁止 Linux 系統用戶訪問共享目錄）。

可以直接通過 Windows 資源管理器來完成 Samba 共享許可權的管理，就跟你在 Windows 資源管理器中設置其它文件夾許可權的方法一樣。

首先，使用具有管理員許可權的 Samba4 AD 域帳號登錄到 Windows 機器。然而在 Windows 機器上的資源管理器中輸入雙斜杠和 Samba AD DC 伺服器的 IP 地址或主機名或者是 FQDN 來訪問共享文件和設置許可權。

\adc1
或
\192.168.1.254
或
\adc1.tecmint.lan

從 Windows 機器訪問 Samba 共享目錄

5、右鍵單擊共享文件，選擇屬性來設置許可權。打開安全選項卡，依次修改域賬號和組許可權。使用高級選項來調整許可權。

配置 Samba 共享目錄許可權

可參考下面的截圖來為指定 Samba AD DC 認證用戶設置許可權。

設置 Samba 共享目錄用戶許可權

6、你也可以使用其它方法來設置共享許可權，打開計算機管理-->連接到另外一台計算機。

找到共享目錄，右鍵單擊你想修改許可權的目錄，選擇屬性，打開安全選項卡。你可以在這裡修改任何許可權，就跟上圖的修改共享文件夾許可權的方法一樣。

連接到 Samba 共享目錄伺服器

管理 Samba 共享目錄屬性

為域用戶授予共享目錄許可權

第三步：通過 GPO 來映射 Samba 文件共享

7、要想通過域組策略來掛載 Samba 共享的目錄，你得先到一台已安裝了 RSAT 工具 的伺服器上，打開 AD DC 工具，右鍵單擊域名，選擇新建-->共享文件夾。

映射 Samba 共享文件夾

8、為共享文件夾添加一個名字，然後輸入共享文件夾的網路路徑，如下圖所示。完成後單擊 OK 按鈕，你就可以在右側看到文件夾了。

設置 Samba 共享文件夾名稱及路徑

9、下一步，打開組策略管理控制台，找到當前域的默認域策略腳本，然後打開並編輯該文件。

在 GPM 編輯器界面，打開 GPM 編輯器，找到用戶配置 --> 首選項 --> Windows 設置，然而右鍵單擊驅動器映射，選擇新建 --> 映射驅動。

在 Windows 機器上映射 Samba 共享文件夾

10、通過單擊右邊的三個小點，在新窗口中查詢並添加共享目錄的網路位置，勾選重新連接複選框，為該目錄添加一個標籤，選擇驅動盤符，然後單擊 OK 按鈕來保存和應用配置。

配置 Samba 共享目錄的網路位置

11、最後，為了在本地機器上強制應用 GPO 更改而不重啟系統，打開命令行提示符，然而執行下面的命令。

gpupdate /force

應用 GPO 更改

12、當你在本地機器上成功應用策略後，打開 Windows 資源管理器，你就可以看到並訪問共享的網路文件夾了，能否正常訪問共享目錄取決於你在前一步的授權操作。

如果沒有在命令行下強制應用組策略，你網路中的其它客戶機需要重啟或重新登錄系統才可以看到共享目錄。

Windows 機器上掛載的 Samba 網路磁碟

第四步：從 Linux 客戶端訪問 Samba 共享目錄

13、已加入 Samba AD DC 中的 Linux 成員機上的系統用戶也可以可以使用 Samba 帳號訪問或在本地掛載共享目錄。

首先，你得通過下面的命令來確保 Samba 客戶端和工具已經安裝完成。

$ sudo apt-get install smbclient cifs-utils

14、為了列出域環境中的共享目錄，你可以通過下面的命令加入指定的域控伺服器主機名來查詢：

$ smbclient –L your_domain_controller –U%
或
$ smbclient –L \adc1 –U%

在 Linux 機器上列出 Samba 共享目錄

15、在命令行下使用域帳號以交互試方式連接到 Samba 共享目錄：

$ sudo smbclient //adc/share_name -U domain_user

在命令行下，你可以列出共享目錄內容，下載或上傳文件到共享目錄，或者執行其它操作。使用 ? 來查詢所有可用的 smbclient 命令。

在 Linux 機器上連接 Samba 共享目錄

16、在 Linux 機器上使用下面的命令來掛載 samba 共享目錄。

$ sudo mount //adc/share_name /mnt -o username=domain_user

在 Linux 機器上掛載 samba 共享目錄

根據實際情況，依次替換主機名、共享目錄名、掛載點和域帳號。使用 mount 命令加上管道符和 grep 命令來過濾出 cifs 類型的文件系統。

通過上面的測試，我們可以看出，在 Samba4 AD DC 伺服器上配置共享目錄僅使用 Windows 訪問控制列表（ ACL ），而不是 POSIX ACL 。

通過文件共享把 Samba 配置為域成員以使用其它網路共享功能。同時，在另一個域控制器上配置 Windbindd 服務 ——在你開始發起網路共享文件之前。

作者簡介：

我是一個電腦迷，開源 Linux 系統和軟體愛好者，有 4 年多的 Linux 桌面、伺服器系統使用和 Base 編程經驗。

譯者簡介：

春城初春/春水初生/春林初盛/春風十裏不如妳 rusking

via: http://www.tecmint.com/create-shared-directory-on-samba-ad-dc-and-map-to-windows-linux/

作者：Matei Cezar 譯者：rusking 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive