miércoles, 24 de marzo de 2021

Acceder a una carpeta compartida con samba en Linux con un usuario de Active Directory



Cómo acceder a un share de samba ubicado en Linux con un usuario de Active Directory.



Al usar Samba en un sistema Linux, podemos conectar este con el Active Directory de la organización y permitir el acceso a ciertas carpetas solo a determinados usuarios del dominio.

Primero de todo debemos instalar el paquete de Samba Client en nuestro sistema operativo a la par que el paquete krb5 y conectar el S.O. con el dominio.

El siguiente paso es configurar el apartado [global] del archivo smb.conf ubicado en /etc/samba:

[global] netbios name = nombredemaquina workgroup = DOMINIO idmap gid = 10000-20000 idmap uid = 10000-20000 kerberos method = secrets and keytab realm = DOMINIO.LOCAL security = ADS template homedir = /home/%D/%U template shell = /bin/bash winbind offline logon = yes winbind refresh tickets = yes winbind use default domain = yes

NOTA: cambiar "nombredemaquina" por el nombre real de la máquina dentro del dominio y "DOMINIO" por el nombre de dominio de la organización.

A continuación, podemos crear carpetas compartidas o shares cuya visibilidad esté restringida a ciertos usuarios, por ejemplo usuario1 y usuario2, en el archivo smb.conf:

[Nombre] path = /ruta access based share enum = yes read only = no valid users = usuario1, usuario2 create mask = 0775 directory mask = 0775

Lo más interesante de esta configuración es la opción "access based share enum". Samba, en su archivo smb.conf, permite enumerar los recursos compartidos en función de los permisos de acceso.

Si este parámetro está configurado en "yes" para un share, este solo será visible para los usuarios que hayamos definido que tengan acceso de lectura o escritura al recurso (en el ejemplo, usuario1 y usuario2. Solo estos dos usuarios serán capaces de ver la carpeta compartida).

Para esconder solamente los archivos o carpetas ubicados dentro de una carpeta compartida a usuarios que no tengan permisos de lectura o escritura:

[share] hide unreadable = yes

Tras modificar alguna de estas opciones, hace falta reiniciar el daemon de smb (systemctl restart smb).


Fuentes:

https://serverfault.com/questions/144339/hiding-samba-share-from-browse-list-for-unauthorised-users

https://superuser.com/questions/1028430/hide-samba-share-names

https://access.redhat.com/solutions/2262051

https://askubuntu.com/questions/352456/samba-setup-for-windows-domain-access

https://www.tecmint.com/create-shared-directory-on-samba-ad-dc-and-map-to-windows-linux/

https://wiki.samba.org/index.php/Setting_up_a_Share_Using_POSIX_ACLs

https://askubuntu.com/questions/102924/list-samba-shares-and-current-users

https://askubuntu.com/questions/208013/how-can-i-set-up-samba-shares-to-only-be-accessed-by...

https://community.spiceworks.com/topic/400799-linux-samba-file-server-with-ad-authentication

https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html

https://serverfault.com/questions/395486/i-can-connect-to-samba-server-but-cannot-access-shares

https://unix.stackexchange.com/questions/377516/what-does-browseable-in-samba-configuration...

https://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/s1-samba-servers.html

http://www.bdat.net/documentos/samba/smb.conf/t1.html

https://serverfault.com/questions/562875/samba-default-file-creation-mask-calculation
0

0 comentarios:

Publicar un comentario