Dodanie Windows 10 do domeny AD i instalacja narzędzi administracyjnych

Windows 10 to obecnie najpopularniejszy system operacyjny na świecie dla komputerów stacjonarnych i laptopów. System ten bez przeszkód można podłączyć do domeny Active Directory, a w połączeniu z narzędziami zdalnej administracji serwera może służyć administratorowi do zarządzania domeną bez konieczności logowania się na serwer. Ma to szczególne znaczenie w sytuacji, gdy kontrolerem domeny jest komputer pracujący pod systemem z rodziny Unix/Linux w oparciu o oprogramowanie Samba w wersji czwartej.

Wstępne przygotowania

Uwaga

Użytkownik wykonujący poniższe operacje powinien posiadać uprawnienia administratora systemu operacyjnego.

Żeby podłączyć komputer kliencki z Windowsem 10 do Active Directory, kontroler domeny musi być dla klienta serwerem wyszukiwania DNS. Aby tak było, komputer gość powinien pobierać odpowiedni adres serwera DNS z serwera DHCP, lub można ten adres ustawić na sztywno. W tym celu w systemie Windows 10 otwieramy Panel Sterowania i w obszarze Sieć i Internet klikamy Wyświetl stan sieci i zadania:

Następnie wybieramy Zmień ustawienia karty sieciowej. Klikamy prawym przyciskiem myszy na kartę sieciową, przez którą komputer z Windows 10 łączy się z domeną i wybieramy Właściwości. W okienku, które się pojawi wybieramy Protokół internetowy w wersji 4 (TCP/IPv4) i ponownie klikamy Właściwości:

W nowym oknie zaznaczamy Użyj następujących adresów DNS: i wpisujemy adres IP preferowanego serwera. Alternatywny serwer nie jest wymagany:

Wprowadzone zmiany zatwierdzamy OK i wychodzimy z ustawień sieciowych. Teraz można sprawdzić czy nazwa kontrolera domeny jest poprawnie rozpoznawana. W tym celu w wierszu poleceń trzeba wydać komendę:

> ping nazwa_serwera

Efekt powinien być jak na grafice powyżej.

Uwaga

Przed podłączeniem komputera klienckiego do Active Directory należy zadbać o to, aby czas systemowy w Windowsie 10 był taki sam jak na kontrolerze domeny. Jest to jedno z zabezpieczeń używanych przez system uwierzytelniania Kerberos. W artykule Synchronizacja czasu w domenie - NTP opisałem jak skonfigurować usługę synchronizacji czasu. Tamten post jest nadal aktualny a synchronizacji w Windows 10 dokonujemy tak samo w Windows 7.

Właściwe podpięcie do do domeny

Jeśli wszystko dotąd przebiegło pomyślnie możemy przejść do zasadniczej części procesu. W celu właściwego podłączenia komputera z systemem Windows 10 do Active Directory wyszukujemy w menu Start lub na pulpicie Ten komputer, klikamy prawym przyciskiem myszy i wybieramy Właściwości. W obszarze Nazwa komputera,domena i ustawienia grupy roboczej klikamy Zmień ustawienia:

W nowym oknie, na karcie Nazwa komputera klikamy Zmień:

Następnie należy wpisać nazwę komputera, która będzie rozpoznawana w domenie, nazwę domeny i kliknąć OK:

Pojawi się monit, w którym należy podać konto administratora domeny oraz jego hasło:

Po kliknięciu OK i odczekaniu chwili powinien pojawić się następujący komunikat:

Należy kliknąć OK i zrestartować komputer. Gdy ten będzie się ponownie uruchamiał, możemy przejść do konsoli kontrolera domeny i sprawdzić czy nowy klient został dodany. W tym celu wydajemy polecenie:

# samba-tool computer list

Widzimy, że nowy komputer znajduje się na liście.

Po restarcie systemu Windows można się zalogować na konto administratora domeny. W oknie logowania należy wybrać Inny użytkownik:

W polu Nazwa użytkownika należy wpisać konto administratora poprzedzone nazwą domeny:

Po chwili zostaniemy zalogowani do systemu.

Instalacja narzędzi administracji zdalnej serwera - RSAT

Odpowiednią wersją oprogramowania należy pobrać ze strony https://www.microsoft.com/pl-pl/download/details.aspx?id=45520 a następnie zainstalować. Po zakończonej instalacji, w menu Start pojawi się folder Narzędzia administracyjne systemu Windows. Po rozwinięciu można otworzyć jedno z narzędzi i sprawdzić czy mamy kontrolę nad domeną:

Jak w 2019 roku szybko skonfigurować kontroler Active Directory na Linuksie?

Słowem wstępu

W tym artykule przedstawię prosty sposób na przygotowanie i zainstalowanie podstawowego kontrolera domeny Active Directory. Użyję do tego celu komputera z systemem operacyjnym Debian w najnowszej wersji 10.2. Oprogramowanie serwera Samba zainstaluję z repozytoriów Debiana. Będzie to stabilna wersja 4.9.5.
Post ten jest realizacją jednej z możliwych wersji praktycznego scenariusza konfiguracji przedstawionej w oficjalnej dokumentacji serwera Samba, dostępnej na stronie

https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller

Na początku też mała prośba. Jeśli uda Ci się skonfigurować kontroler domeny Active Directory w swojej sieci na podstawie mojego poradnika, poinformuj mnie o tym. Może być w komentarzu pod tym postem, albo mailem (podany w zakładce "Współpraca"). Chciałbym po prostu wiedzieć czy tworzenie takich poradników ma sens i czy ktokolwiek z nich korzysta ;)

Konfiguracja systemu operacyjnego

Uwaga!

Pokazana poniżej konfiguracja odbywa się w konsoli systemu Debian z poziomu konta użytkownika root. Dlatego w opisie przed komendami pomijam parametr sudo. Na początku każdej z nich będę umieszczał znak #.

Konfiguracja sieci

W moim komputerze mam zainstalowane dwie karty sieciowe, które w systemie operacyjnym mają oznaczenia enp0s3 oraz enp0s8. Pierwsza z nich pobiera konfigurację poprzez DHCP i służy do połączenia serwera z Internetem. Druga karta posłuży do pacy w domenie, dlatego trzeba ją odpowiednio skonfigurować. W tym celu w dowolnym edytorze, np. nano, należy zmienić plik /etc/network/interfaces zgodnie z poniższym przykładem:

Po wprowadzeniu powyższych zmian należy wydać komendę:

# systemctl restart networking

w celu zrestartowania usług sieciowych w Debianie i włączenia drugiej katy sieciowej.

Uwaga!

W tym artykule pomijam kwestie związane z routingiem na kartach sieciowych i dostępem do Internetu dla sieci w domenie. Zainteresowanym udzielę odpowiednich wskazówek w komentarzach, jeśli pojawi się taka potrzeba.

Wydając polecenie

# ifconfig

powinniśmy zobaczyć widok podobny do tego:

Jeśli komenda nie działa, trzeba zainstalować dodatkowe narzędzia poleceniem:

# apt install net-tools

Konfiguracja nazwy i przypisanie adresu IP

Nazwę serwera oraz nazwę domeny można skonfigurować na etapie instalacji systemu operacyjnego. Przed instalacją oprogramowania Samba musimy przypisać nazwie serwera adres IP sieci pracującej w domenie. Odpowiednich zmian dokonujemy w pliku /etc/hosts:

Po zapisaniu zmian możemy wydać polecenie

# ping snape -c 4

(gdzie snape jest nazwą naszego serwera) w celu sprawdzenia czy pingowany jest poprawny adres IP:

Instalacja Samby

Instalacja niezbędnych pakietów

Aby poprawnie skonfigurować serwer Samba jako kontroler domeny Active Directory należy zainstalować następujące pakiety poleceniem:

# apt install acl attr samba samba-dsdb-modules samba-vfs-modules winbind krb5-config krb5-user smbclient bind9 dnsutils

W wyskakujących okienkach wszystko zostawiamy domyślne i zatwierdzamy tak jak jest.

Ustawienie montowania partycji głównej (tylko w systemie plików ext3!)

Aby sprawdzić w jakim systemie plików jest sformatowana partycja główna, otwieramy plik /etc/fstab:

Jeśli w naszym komputerze mamy system plików ext4, jak na powyższej grafice, to nie musimy nic zmieniać. Można przejść do kolejnego punktu czyli promowania domeny.

Jeśli jednak mamy starszy system ext3 to wpis

/ ext3 errors=remount-ro 0 1

musimy zastąpić

/ ext3 errors=remount-ro,user_xattr,acl,barrier=1 1 1

Po zapisaniu pliku /etc/fstab należy przemontować partycję główną poleceniem

# mount -o remount /

Promowanie domeny

Punkt kulminacyjny całego artykułu czyli promowanie domeny (ang. provisioning). Na początku należy usunąć plik konfiguracyjny Samby, utworzony domyślnie podczas instalacji. Można to zrobić poleceniem

# rm /etc/samba/smb.conf

Następnie wydajemy komendę:

# samba-tool domain provision --use-rfc2307 --interactive --option="interfaces=lo enp0s8" --option="bind interfaces only=yes"

Teraz odpowiadamy na pytania kreatora. Pierwsze opcje zostawiamy domyślne. Na pytanie o DNS Backend odpowiadamy BIND9_DLZ:

Po podaniu dwukrotnie hasła administratora musimy moment odczekać aż zobaczymy widok:

Informacje na samym dole oznaczają, że poprawnie wypromowaliśmy naszą domenę.

Kerberos i Bind

Po wypromowaniu domeny należy skopiować plik konfiguracyjny oprogramowania Kerberos oraz skonfigurować serwer DNS do pracy z domeną. Na początku wydajemy polecenie

# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

Komenda # cat /etc/krb5.conf powinna dać poniższy widok:

Następnie musimy zmienić pliki konfiguracyjne serwera DNS Bind. Najpierw uzupełniamy plik /etc/bind/named.conf.options wg wzoru:

Uwaga!

Powyższa konfiguracja zapewnia bezproblemową pracę kontrolera domeny Active Directory. Znaczenie poszczególnych opcji wyjaśnię innym razem.

Do pliku /etc/bind/named.conf.local trzeba jeszcze dopisać linijkę

include "/var/lib/samba/bind-dns/named.conf";

Po wprowadzeniu zmian w powyższych plikach można wydać komendę

# named-checkconf

Jeśli nic się nie wyświetli, to znaczy, że poprawnie skonfigurowaliśmy serwer DNS do pracy z domeną. W przeciwnym razie zobaczymy komunikaty informujące, w którym pliku i w której linijce jest błąd.

Na koniec trzeba jeszcze zmienić plik /etc/resolv.conf wg wzoru:

Aby potrzebne wpisy zostały po restarcie systemu, warto zmienić nieco plik /etc/dhcp/dhclient.conf:

Wprowadzamy zmiany w linijkach supersede domain-name oraz prepend domain-name-servers.

Konfiguracja automatycznego uruchamiania serwisów

Musimy tak ustawić oprogramowanie Samba, aby startowało automatycznie wraz z uruchomieniem systemu operacyjnego. W tym celu musimy odpowiednio włączyć i wyłączyć niektóre serwisy. Kolejno wydajemy komendy:

# systemctl disable smbd

# systemctl disable nmbd

# systemctl disable winbind

# systemctl unmask samba-ad-dc

# systemctl enable samba-ad-dc

Następnie możemy zrestartować serwer poleceniam

# shutdown -r now

Testowanie działania domeny

Po ponownym uruchomieniu serwera przechodzimy do sprawdzenia działania usług. Na początku uruchamiamy polecenia

# pgrep named

oraz

# pgrep samba

Powinna się wyświetlić lista uruchomionych serwisów. Jeśli dotąd robiłeś wszystko zgodnie z poradnikiem to tak mniej więcej powinna ona wyglądać:

Następnie wydajemy polecenie

# smbclient -L localhost -U%

Jeśli samba działa i jest gotowa do pracy, efekt powinien być podobny do tego:

Na koniec wydajemy polecenie # kinit administrator

Po podaniu hasła administratora domeny zobaczymy do kiedy hasło jest ważne.

Możemy jeszcze przetestować działanie samego serwera DNS poprzez wydanie trzech poleceń. Efekt powinien wyglądać jak na poniższej grafice:

Zakończenie

Jeśli przebrnąłeś przez cały ten post to gratuluję. Jeśli udało Ci się poprawnie skonfigurować kontroler domeny Active Directory to gratuluję tym bardziej! Postępowanie krok po kroku wg tego poradnika powinno zaprowadzić do wyznaczonego celu. Możesz teraz spróbować podpiąć komputery klienckie do domeny. Jeżeli masz jakieś uwagi co do tego artykułu, podziel się, proszę, w komentarzu lub wyślij mi maila.

Reaktywacja!

Witam po bardzo długiej przerwie :-) Niedługo zaprezentuję aktualizacje najważniejszych zagadnień dotyczących serwera Samba w roli kontrolera domeny Active Directory. Zapraszam do dzielenia się uwagami, komentowania i zadawania pytań.

Samba 4 w Debianie 8 Jessie, sposób I

Wstęp

Od ostatnich postów na tym blogu już trochę czasu minęło, a w systemach wolnego oprogramowania pojawiły się nowości. Przede wszystkim 25 kwietnia br. ukazała się nowa stabilna wersja systemu operacyjnego Linux – Debian 8 Jessie a 6 czerwca jej aktualizacja (8.1). Dla tej wersji zmienia się sposób instalacji Samby i konfiguracji kontrolera domeny Active Directory. Samba również cały czas się rozwija, dlatego 4 marca br. pojawiła się wersja 4.2 a wraz z nią przestała być rozwijana Samba 3. Najnowszym stabilnym wydaniem tego serwera jest 4.2.2 z 27 maja. Na napisanie nowej książki z aktualnymi sposobami konfiguracji kontrolera domeny potrzeba trochę czasu, więc najnowsze informacje zamieszczam właśnie tutaj.

W poprzedniej wersji Debiana można było zainstalować Sambę poprzez kompilację źródeł (opisane tutaj: https://www.jedenserwer.blogspot.com/2013/09/active-directory-na-linuxie-kompletny.html) lub z repozytoriów Backports (pokazane w książce). Debian 8 Jessie zawiera Sambę 4 w standardowych repozytoriach. Jest to jednak wersja 4.1.17, zatem jeśli chcemy mieć najnowszą wersję serwera, musimy skompilować źródła. W najnowszym Debianie zmienia się także sposób instalacji serwera DNS Bind oraz pojawia się kilka mniejszych zmian, które niedoświadczonym użytkownikom mogą zepsuć nastrój.

W tym artykule pokarzę jak zainstalować i skonfigurować kontroler domeny poprzez instalację Samby z repozytoriów Debiana. Instalację poprzez kompilację źródeł opiszę w drugiej części, w innym poście.

Część I – instalacja i konfiguracja systemu operacyjnego

Instalacja i konfiguracja najnowszego Debiana nie różni się znacząco o opisanej w poprzedniej wersji poradnika - https://www.jedenserwer.blogspot.com/2013/09/active-directory-na-linuxie-kompletny.html. Zakładamy, że kontrolerem domeny będzie komputer wpięty do sieci w topologii gwiazdy wraz z komputerami klienckimi:

Debiana zainstalujemy z wykorzystaniem obrazu płyty „netinstall”, który należy pobrać ze strony https://www.debian.org/distrib/netinst i wypalić na nośniku fizycznym. Podczas instalacji serwer musi mieć dostęp do Internetu.

Sposób instalacji przebiega tak jak we wcześniejszym artykule, do momentu wyboru składników systemu:

W Debianie 7 w tym miejscu mogliśmy zaznaczyć do instalacji serwer DNS. Tutaj tej opcji nie ma. Wybór składników systemu jest w zasadzie dowolny. Jeśli serwer ma być tylko kontrolerem domeny AD, można nie zaznaczać żadnych punktów.

Kolejną różnicę zobaczymy pod koniec instalacji. Jak widać na poniższym rysunku trzeba ręcznie wybrać urządzenie, na którym zostanie zainstalowany program rozruchowy.

Po zakończeniu instalacji należy zalogować się kontem root i skonfigurować system. W tym miejscu trzeba wykonać kroki opisane w punkcie II tej instrukcji: https://www.jedenserwer.blogspot.com/2013/09/active-directory-na-linuxie-kompletny.html.

Część II – konfiguracja kontrolera domeny

Aby odpalić Active Directory pod kontrolą Debiana, trzeba zainstalować Sambę, serwer DNS i system autoryzacji Kerberos. W tym celu wystarczy wydać polecenie:

# apt-get install samba smbclient bind9 krb5-user

Następnie trzeba wypromować domenę. Najpierw należy usunąć stary plik konfiguracyjny poleceniem

# rm /etc/samba/smb.conf

W kolejnym kroku wydajemy komendę:

# samba-tool domain provision

i odpowiadamy na pytania kreatora. Przy opcjach Realm, Domain i Server Role po prostu wciskamy Enter. Przy opcji DNS backend wpisujemy BIND9_DLZ. Podajemy dwukrotnie hasło administratora domeny (nie może być trywialne!) i czekamy aż proces promowania dobiegnie końca. Jeśli wszystko do tej pory zrobiliśmy poprawnie, powinniśmy zobaczyć wynik podobny do poniższego.

W następnym etapie należy skopiować plik krb5.conf poleceniem

# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

oraz wyedytować wg wzoru:

Do poprawnego działania kontrolera domeny potrzeba jeszcze skonfigurować zainstalowany wcześniej serwer DNS Bind9. Najpierw edytujemy plik /etc/bind/named.conf.options jak poniżej:

Następnie plik /etc/bind/named.conf.local:

oraz /etc/resolv.conf:

Wrzucając Sambę 4 do głównego repozytorium, twórcy Debiana zaliczyli wtopę, a przynajmniej tak można sądzić po konieczności edycji ostatniego pliku - /var/lib/samba/private/named.conf:

W Debianie 8 Jessie domyślnie instalowana jest nowsza wersja Binda niż ta, którą Samba 4 ma w ustawieniach :-)

Po zapisaniu wszystkich plików warto sprawdzić konfigurację Binda poleceniem

# named-checkconf

Jeśli nic się nie pojawi, to dobrze, a jeśli się pojawi, to będziemy wiedzieć, w którym pliku popełniliśmy błąd.

Ostatnim etapem jest restart serwisów Samby i Binda. W tym celu wykonujemy polecenia:

# /etc/init.d/samba stop

# /etc/init.d/bind9 stop

# /etc/init.d/samba start

# /etc/init.d/bind9 start

Następnie sprawdzamy czy serwisy wystartowały:

# pgrep named

(powinien pojawić się numer serwisu)

# pgrep samba

(lista numerów serwisów)

Na koniec wykonujemy jeszcze polcenie

# kinit administrator

po którym wpisujemy hasło administratora domeny oraz

# smbclient –L localhost –U%

Efekt powinien być taki jak na grafice:

Konfiguracja dobiegła końca. Można podpinać komputery klienckie do domeny :-)

Active Directory w systemach wolnego oprogramowania - książka

Drodzy Czytelnicy,

Od blisko roku pod adresem samba.org.pl nie pojawiały się nowe posty. Tyle właśnie czasu zajęło mi przygotowanie książki, która dzięki wydawnictwu Helion jest od dziś dostępna w księgarniach. Znajdziecie w niej między innymi uaktualnioną, jeszcze łatwiejszą instrukcję instalacji kontrolera domeny Active Directory w systemie Debian a także w dystrybucjach Fedora, openSUSE i uniksowym systemie FreeBSD. Oprócz tematów, które są już na blogu, w książce opisałem jak przygotować wirtualne laboratorium testowe, jak zarządzać domeną AD poprzez linuksową konsolę kontrolera, przedstawiłem sposób dodawania i zarządzania drukarkami oraz pokazałem jak zainstalować LAMP i skonfigurować prosty intranet. Zostały też pokazane aktualne metody podpięcia do Active Directory komputerów klienckich z systemami wolnego oprogramowania. Więcej szczegółów dotyczących książki znajdziecie pod adresem http://helion.pl/ksiazki/active-directory-w-systemach-wolnego-oprogramowania-zbigniew-gora,acdili.htm

Serdecznie pozdrawiam i zachęcam do lektury :-)

Linux jako klient Active Directory z profilami wędrującymi cz. II

W pierwszej części poradnika pokazałem jak zainstalować i skonfigurować system Xubuntu w celu dodania komputera do Active Directory i uruchomienia logowania użytkowników domenowych. W tej części przedstawię kilka wskazówek, które ułatwią korzystanie z systemu Linux w Active Directory. Punktem kulminacyjnym tego artykułu będzie włączenie montowania zasobów użytkowników z serwera. Dzięki temu profile wędrujące przestaną dotyczyć wyłącznie systemów Windows.

Punkt trzeci poniższego tutoriala nie dotyczy bezpośrednio Linuxa. Pokazuję w nim jak tworzyć grupę w domenie i nadawać jej uprawnienia do folderów. To do jakiej grupy należą użytkownicy jest ważne w systemie Linux i przekłada się na uprawnienia folderów lokalnych. Dla administratora domeny, w której użytkownicy korzystają z różnych systemów operacyjnych, zarządzanie grupami będzie miało znaczenie.

1. Ustawienie hasła administratora

Jeśli w systemie jest zalogowany użytkownik domeny a w konsoli chcemy się dostać do konta root, musimy wykonać dosyć skomplikowaną operację: zalogować się na konto użytkownika stworzone podczas instalacji systemu poprzez wpisanie polecenie su manager (lub inna nazwa) i podanie hasła, wpisanie polecenia sudo su i ponowne podanie hasła. Aby uprości sprawę możemy będąc zalogowani na konto root wydać komendę

# passwd

i podać nowe hasło. Po tej operacji będzie można się zalogować na konto root z poziomu dowolnego usera poprzez wydanie polecenie su i podanie nowo utworzonego hasła.

2. Ustawienie domyślnej domeny logowania i praw do folderu użytkownika

W poprzedniej części pokazałem, że aby zalogować się do systemu Xubuntu kontem domenowym, nazwę użytkownika trzeba poprzedzić krótką nazwą domeny (hogwart\mpgomulka). Można sobie ułatwić sprawę wydając polecenie:

# lwconfig AssumeDefaultDomain true

Przy logowaniu można wpisywać samą nazwę użytkownika. Ta zmiana będzie miała też znaczenie później przy montowaniu folderów użytkowników.

Po za logowaniu do Xubuntu kontem użytkownika AD jest tworzony katalog profilu w lokalizacji /home/likewise-open/NAZWA_DOMENY/nazwa_proflu. Według domyślnych ustawień użytkownik ma pełne prawa do folderu, ale inni użytkownicy w danej grupie mogą przeglądać jego zawartość. Aby udzielić wyłącznych praw do folderu użytkownikowi, trzeba wywołać komendę:

# lwconfig homedirumask 077

Narzędzie lwconfig jest instalowane wraz z pakietem likewise-open.

3. Profile wędrujące i folder wspólny

Poniższe operacje będziemy wykonywać dla użytkowników konkretnej grupy. Dlatego w tym zagadnieniu zacznę od utworzenia grupy i jej członków.

Na komputerze z systemem Windows z zainstalowanymi przystawkami administracji serwerem trzeba otworzyć Użytkownicy i komputery usługi Active Directory, otworzyć folder Users, kliknąć prawym przyciskiem myszy, wybrać Nowy => Grupa:

Jeśli tworzymy konta dla uczniów, możemy nazwać grupę "Students". Pozostałe opcje pozostawiamy domyślne.
W kolejnym kroku należy utworzyć konta, np. student1, student2, student3... wybierając Nowy => Użytkownik. Wystarczy wypełnić pole Imię lub Nazwisko oraz Nazwa logowania użytkownika. Każdego użytkownika należy dodać do grupy Students poprzez kliknięcie prawym przyciskiem myszy, wybranie Właściwości, karta Członek grupy. Do listy dodajemy grupę Students, ustawiamy ją jako domyślną i usuwamy grupę Domain users:

Następnie należy utworzyć foldery na kontrolerze domeny. Jeden wspólny - Common i drugi do przechowywania prywatnych plików użytkowników mobilnych. Trzeba zalogować się kontem root i wykonać polecenie:

# mkdir /usr/local/samba/var/Common
# mkdir /usr/local/samba/var/StudentsData

Aby udostępnić zasoby sieciowe w Sambie, trzeba wyedytować plik /usr/local/samba/etc/smb.conf dodając informację o nowo utworzonych folderach:

Trzeba przeładować ustawienia Samby poleceniem:

# /usr/local/samba/bin/smbcontrol all reload-config

Aby sprawdzić czy zmiany odniosły skutek wydajemy komendę:

# /usr/local/samba/bin/smbclient -L localhost -U%

Nowe foldery powinny się pojawić na liście:

W kolejnym kroku musimy przydzielić grupie Students uprawnienia do nowych folderów. W tym celu wracamy na komputer z Windows, wciskamy klawisze Windows+R i wpisujemy \\nazwa_serwera. Powinno pojawić się okno:

Klikamy prawym przyciskiem myszy na folder Common, wybieramy Właściwości, kartę Zabezpieczenia i klikamy Edytuj. Z listy możemy usunąć wszystkie wpisy poza Administratorem. Musimy dodać grupę Students i nadać jej Pełną kontrolę:

W przypadku folderu StudentsData klikamy prawym przyciskiem myszy, wybieramy Właściwości, kartę Zabezpieczenia. Klikamy przycisk Zaawansowane i Zmień uprawnienia. Z listy usuwamy wszystko poza Administratorem, dodajemy grupę Students i w okienku, które się pojawi wybieramy "Tylko ten folder" i zezwalamy na Pełną kontrolę:

Klikamy OK. W okienku odznaczamy pole "Dołącz uprawnienia dziedziczne z tego obiektu nadrzędnego":

Zamykamy okna klikając OK.

Aby użytkownicy mieli dostęp do folderu Common i swoich folderów prywatnych zaraz po zalogowaniu w systemie Windows, należy wprowadzić  następujące ustawienia. Trzeba zaznaczyć wszystkich użytkowników z grupy Students, kliknąć prawym przyciskiem myszy, wybrać Właściwości, kartę Profil i wprowadzić ustawienia według schematu:

Klikamy Zastosuj, potwierdzamy wyskakujący komunikat i klikamy OK.

W ten sposób utworzyliśmy profile wędrujące w grupie Students. Po zalogowaniu w systemie Windows, w oknie Mój komputer jest widoczny dysk sieciowy zmapowanego folderu Common:

4. Montowanie zasobów w Xubuntu

Wiemy już jak stworzyć profil wędrujący i korzystać z niego w systemach Windows. Umiemy też utworzyć wspólny folder i mapować dysk sieciowy. W tym punkcie pokażę jak te same operacje przeprowadzić w systemie Linux na przykładzie Xubuntu.

Aby móc montować zasoby Samby w Linuxie musimy zainstalować odpowiednie pakiety. W Xubuntu (i innych systemach opartych na Debianie) otwieramy konsolę, logujemy się na konto root i wykonujemy polecenie:

# apt-get install cifs-utils

Folder Common

Zaczniemy od montowania folderu wspólnego. Będą mieli do niego dostęp wszyscy użytkownicy grupy Students. Najpierw utworzymy folder, do którego będą montowane zasoby:

# mkdir /mnt/Common

W ten sposób utworzony folder jest własnością użytkownika root w grupie root. Musimy zatem zmienić właściciela folderu:

# chown :NAZWA_DOMENY\\Students /mnt/Common

Nadamy też pełne uprawnienia grupie Students do folderu:

# chmod 070 /mnt/Common

Wydając polecenie:

# ls -l /mnt

powinniśmy zobaczyć następujący zapis:

Zwykłe montowanie dla jednego użytkownika możemy wykonać wydając polecenie:

# mount.cifs //serwer.domena.local/Common /mnt/Common -o username=student1,password=P@ssword,uid=NAZWA_DOMENY\\student1

Odmontowujemy poleceniem:

# umount /mnt/Common

Aby folder Common był montowany przy każdym uruchomieniu komputera, musimy dodać odpowiedni zapis w pliku /etc/fstab:

Zapis credentials=/usr/src/.smbcred oznacza, że nazwa użytkownika i hasło znajduje się w ukrytym pliku, który musimy stworzyć. Wydajemy komendę:

# mcedit /usr/src/.smbcred

i wpisujemy nazwę użytkownika posiadającego prawa do zasobów sieciowych oraz hasło:

Nadajemy jeszcze odpowiednie prawa do pliku, aby login i hasło nie dostały się w niepowołane ręce:

# chmod 600 /usr/src/.smbcred

Foldery prywatne użytkownika

Nieco inaczej wygląda kwestia montowania folderu z danymi użytkownika. W Linuxie istnieje możliwość zamontowania wybranych zasobów podczas logowania usera. W tym celu musimy zainstalować pakiet

# apt-get install libpam-mount

Po instalacji dopisujemy jedną linijkę do polik /etc/security/pam_mount.conf.xml:

Wpis oznacza m. in., że zasoby będą montowane do folderu Windows w lokalizacji użytkownika w systemie. Nie trzeba tworzyć folderu Windows. Będzie on się pojawiał automatycznie podczas logowania i znikał po wylogowaniu. Jeśli użytkownicy będą równolegle korzystali z systemu Windows 7 należy zmenić wpis
path="StudentsData/%(DOMAIN_USER).V2"
Możemy wpisać kilka linijek <volume... /> dla użytkowników różnych grup.

Po wykonaniu powyższych operacji, możemy zalogować się do Xubuntu profilem domenowym. Po zalogowaniu wchodzimy w Katalog użytkownika i sprawdzamy czy jest w nim folder Windows. Jeśli wcześniej nie logowaliśmy się w systemie Windows, folder nie zostanie utworzony. Następnie z pulpitu wchodzimy w System plików, otwieramy folder mnt a następnie Common. Wewnątrz tworzymy dowolny plik lub katalog:

Następnie z innego komputera wchodzimy do lokalizacji \\serwer\Common. Powinien wyświetlić się utworzony testowy plik:

Oznacza to, że folder Common montuje się poprawnie.

Na końcu dla testów w Xubuntu w prawym górnym rogu klikamy nazwę usera i wybieramy Przełącz użytkownika. Logujemy się innym kontem domenowym.

Na ekranie widać, że drugi użytkownik z grupy Students posiada uprawnienia do folderu Common i nie ma uprawnień do folderu pierwszego zalogowanego profilu.

Skróty do folderu Windows i Common możemy wyciągnąć na pulpit. Klikamy na folder prawym przyciskiem myszy, wybieramy Wyślij do => Pulpit (utwórz dowiązanie).

5. Dodanie grupie uprawnień administracyjnych w Xubuntu

Grupom w Active Directory można nadawać prawa administracyjne w Linuxie, aby użytkownicy mogli wykonywać polecenia administratora poprzedzone słówkiem sudo. Aby to zrobić, należy z poziomu root wyedytować plik /etc/sudoers i dodać linijkę jak na ekranie:

Po zapisaniu pliku wydajemy komendę testową z poziomu użytkownika domeny:

$ sudo apt-get update

Po wpisaniu hasła użytkownika powinniśmy dostać taki wynik:

Zakończenie

Desktop z systemem Linux został dodany do domeny Active Directory. Profile wędrujące zostały uruchomione a użytkownicy mogą zapisywać swoje dane w jednym folderze zarówno w systemie Linux i Windows.

Administratorom życzę powodzenia we wdrożeniach. Wszelkie pytania i sugestie piszcie w komentarzach. Zawsze chętnie pomogę.