Cómo acceder a un share de samba ubicado en Linux con un usuario de Active Directory.
Al usar Samba en un sistema Linux, podemos conectar este con el Active Directory de la organización y permitir el acceso a ciertas carpetas solo a determinados usuarios del dominio.
Primero de todo debemos instalar el paquete de Samba Client en nuestro sistema operativo a la par que el paquete krb5 y conectar el S.O. con el dominio.
El siguiente paso es configurar el apartado [global] del archivo smb.conf ubicado en /etc/samba:
[global]
netbios name = nombredemaquina
workgroup = DOMINIO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = DOMINIO.LOCAL
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind offline logon = yes
winbind refresh tickets = yes
winbind use default domain = yes
NOTA: cambiar "nombredemaquina" por el nombre real de la máquina dentro del dominio y "DOMINIO" por el nombre de dominio de la organización.
A continuación, podemos crear carpetas compartidas o shares cuya visibilidad esté restringida a ciertos usuarios, por ejemplo usuario1 y usuario2, en el archivo smb.conf:
[Nombre]
path = /ruta
access based share enum = yes
read only = no
valid users = usuario1, usuario2
create mask = 0775
directory mask = 0775
Lo más interesante de esta configuración es la opción "access based share enum". Samba, en su archivo smb.conf, permite enumerar los recursos compartidos en función de los permisos de acceso.
Si este parámetro está configurado en "yes" para un share, este solo será visible para los usuarios que hayamos definido que tengan acceso de lectura o escritura al recurso (en el ejemplo, usuario1 y usuario2. Solo estos dos usuarios serán capaces de ver la carpeta compartida).
Para esconder solamente los archivos o carpetas ubicados dentro de una carpeta compartida a usuarios que no tengan permisos de lectura o escritura:
[share]
hide unreadable = yes
Tras modificar alguna de estas opciones, hace falta reiniciar el daemon de smb (systemctl restart smb).
Fuentes:
https://serverfault.com/questions/144339/hiding-samba-share-from-browse-list-for-unauthorised-users
https://superuser.com/questions/1028430/hide-samba-share-names
https://access.redhat.com/solutions/2262051
https://askubuntu.com/questions/352456/samba-setup-for-windows-domain-access
https://www.tecmint.com/create-shared-directory-on-samba-ad-dc-and-map-to-windows-linux/
https://wiki.samba.org/index.php/Setting_up_a_Share_Using_POSIX_ACLs
https://askubuntu.com/questions/102924/list-samba-shares-and-current-users
https://askubuntu.com/questions/208013/how-can-i-set-up-samba-shares-to-only-be-accessed-by...
https://community.spiceworks.com/topic/400799-linux-samba-file-server-with-ad-authentication
https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html
https://serverfault.com/questions/395486/i-can-connect-to-samba-server-but-cannot-access-shares
https://unix.stackexchange.com/questions/377516/what-does-browseable-in-samba-configuration...
https://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/s1-samba-servers.html
http://www.bdat.net/documentos/samba/smb.conf/t1.html
https://serverfault.com/questions/562875/samba-default-file-creation-mask-calculation
0 comentarios:
Publicar un comentario