Memasang dan menggunakan sistem file SMB pada klien Linux sebagai pengguna domain AD - File Storage NAS

Topik ini menjelaskan cara memasang sistem file Server Message Block (SMB) pada klien Linux menggunakan akun domain Active Directory (AD). Topik ini juga mencakup cara melihat dan mengonfigurasi daftar kontrol akses (ACL) untuk file dan direktori dalam sistem file SMB menggunakan akun domain AD.

Prasyarat

Target pemasangan sistem file SMB telah bergabung ke domain AD. Untuk informasi lebih lanjut, lihat Tambahkan Target Pemasangan Sistem File SMB ke Domain AD.
Distribusi Linux yang didukung oleh sistem file SMB digunakan. Untuk informasi lebih lanjut, lihat Batasan dan Gambar Kernel yang Direkomendasikan.

Informasi latar belakang

Sebelum Anda menggabungkan target pemasangan sistem file SMB ke domain AD, Anda hanya dapat memasang dan menggunakan sistem file SMB sebagai pengguna anonim. Setelah Anda menggabungkan target pemasangan sistem file SMB ke domain AD, Anda dapat menentukan apakah akan mengizinkan akses anonim ke sistem file SMB.

Jika sistem file SMB masih mengizinkan akses anonim, Anda dapat menggunakan akun domain AD untuk mengakses sistem file SMB berdasarkan otentikasi Kerberos. Anda juga dapat menggunakan akun yang termasuk dalam grup Everyone untuk mengakses sistem file SMB berdasarkan otentikasi New Technology LAN Manager (NTLM).
Jika sistem file SMB tidak lagi mengizinkan akses anonim, Anda harus menggunakan akun domain AD untuk memasang sistem file SMB pada klien Linux yang diautentikasi menggunakan Kerberos.

Contoh ini menggunakan Ubuntu dan CentOS.

Metode 1: Bergabunglah dengan klien Linux ke domain AD dan kemudian pasang sistem file SMB pada klien Linux

Masuk ke klien Linux.
Gabungkan klien Linux ke domain AD.
- Ubuntu
  1. Jalankan perintah berikut untuk menginstal paket konfigurasi yang diperlukan untuk terhubung ke Server AD:
    sudo apt-get update
    sudo apt-get -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit krb5-user
  2. Jalankan perintah berikut untuk memberi nama klien Linux di domain AD:
    sudo hostnamectl set-hostname myubuntu.example-company.com
    Dalam perintah sebelumnya, example-company.com adalah nama domain AD. Ganti nama tersebut sesuai dengan skenario bisnis Anda.
    Setelah menyelesaikan konfigurasi, jalankan perintah hostnamectl untuk memeriksa nama yang ditentukan dari klien Linux.
  3. Konfigurasikan DNS.
    Jalankan perintah berikut untuk menonaktifkan fitur pembaruan otomatis DNS:
    sudo systemctl disable systemd-resolved sudo systemctl stop systemd-resolved
    Tambahkan alamat IP Server AD ke file /etc/resolv.conf.
    Jalankan perintah ping. Ping nama Server AD untuk memeriksa konektivitas jaringan.
  4. Jalankan perintah berikut untuk mencari domain AD tertentu:
    realm discover <AD domain>
  5. Gabungkan klien Linux ke domain AD.
    sudo kinit Administrator@EXAMPLE-COMPANY.COM sudo realm join -U Administrator example-company.com
    Jalankan perintah realm list. Jika keluaran yang mirip dengan contoh berikut muncul, klien Linux telah bergabung ke domain AD.
  6. Buat direktori rumah untuk pengguna domain AD.
    Jalankan perintah berikut untuk mengonfigurasi direktori rumah:
    sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF Name: activate mkhomedir Default: yes Priority: 900 Session-Type: Additional Session: required pam_mkhomedir.so umask=0022 skel=/etc/skel EOF
    Jalankan perintah berikut untuk mengaktifkan pengaturan sebelumnya:
    pam-auth-update
    Setelah pengaturan diaktifkan, tekan tombol Panah Atas atau Panah Bawah untuk memindahkan kursor, lalu tekan tombol Spasi untuk menambahkan tanda bintang (*). Pastikan opsi activate mkhomedir memiliki awalan tanda bintang (*). Tekan tombol Tab hingga Ok dipilih. Lalu, tekan tombol Enter untuk menyelesaikan pengaturan.
  7. Konfigurasikan layanan Linux sssd.
    Tambahkan krb5_ccname_template=FILE:%d/krb5cc_%U ke file konfigurasi /etc/sssd/sssd.conf.
    Jalankan perintah berikut untuk memulai ulang layanan sssd dan memeriksa status layanan:
    sudo systemctl restart sssd sudo systemctl status sssd
    Jika keluaran yang mirip dengan contoh berikut muncul, layanan Linux sssd telah dikonfigurasi.
- CentOS
  1. Jalankan perintah berikut untuk menginstal paket konfigurasi yang diperlukan untuk terhubung ke Server AD:
    sudo yum update sudo yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python-utils -y
  2. Jalankan perintah berikut untuk memberi nama klien Linux di domain AD:
    sudo hostnamectl set-hostname mycentos.example-company.com
    Dalam perintah sebelumnya, example-company.com adalah nama domain AD. Ganti nama tersebut sesuai dengan skenario bisnis Anda.
    Setelah menyelesaikan konfigurasi, jalankan perintah hostnamectl untuk memeriksa nama yang ditentukan dari klien Linux.
  3. Konfigurasikan DNS.
    Tambahkan alamat IP Server AD ke file konfigurasi /etc/resolv.conf, lalu hapus pengaturan server DNS default dari file tersebut. Jalankan perintah ping. Ping nama Server AD untuk memeriksa konektivitas jaringan.
  4. Konfigurasikan Kerberos.
    Tambahkan kode berikut ke file konfigurasi /etc/krb5.conf:
    default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
  5. Jalankan perintah berikut untuk mencari domain AD tertentu:
    realm discover example-company.com
  6. Gabungkan klien Linux ke domain AD.
    sudo realm join -U Administrator example-company.com
    Jalankan perintah realm list. Jika keluaran yang mirip dengan contoh berikut muncul, klien Linux telah bergabung ke domain AD.
Jalankan perintah id berikut untuk menanyakan identitas pengguna domain AD:
```
id testuser@example-company.com
```
Jika keluaran yang mirip dengan contoh berikut muncul, pengguna domain AD telah diidentifikasi.
Berikan izin masuk ke pengguna domain AD.
- Jalankan perintah berikut untuk memberikan izin kepada pengguna domain AD tertentu untuk masuk ke klien Linux:
```
sudo realm permit usera1@example-company.com
sudo realm permit userb1@example-company.com userb2@example-company.com 
```
- Jalankan perintah berikut untuk memberikan izin kepada grup tertentu untuk masuk ke klien Linux:
```
sudo realm permit -g 'Security Users'
sudo realm permit -g 'Domain Users' 'Domain Admins'
```
- Jalankan perintah berikut untuk memberikan izin kepada semua pengguna untuk masuk ke klien Linux:
```
sudo realm permit --all
```
- Jalankan perintah berikut untuk mencabut izin masuk ke klien Linux dari semua pengguna:
```
sudo realm deny --all
```
Berikan izin sudo kepada pengguna domain AD.
Jalankan perintah berikut untuk membuka file konfigurasi untuk sudo. Lalu, berikan izin sudo berdasarkan kebutuhan bisnis Anda.
```
sudo vim /etc/sudoers.d/domain_admins
```
- Berikan izin sudo kepada pengguna tertentu:
```
usera1@example-company.com     ALL=(ALL)   ALL
userb2@example-company.com     ALL=(ALL)   ALL
```
- Berikan izin sudo kepada grup tertentu:
```
%admingroupc1@example-company.com     ALL=(ALL)   ALL
```
- Berikan izin sudo kepada grup tertentu yang namanya terdiri dari beberapa kata:
```
%domain\ admins@example-company.com       ALL=(ALL)       ALL
```
Konfigurasikan pengaturan masuk Secure Shell (SSH).
1. Buka file konfigurasi SSH /etc/ssh/sshd_config dan ganti pengaturan masuk SSH asli dengan pengaturan berikut:
```
PasswordAuthentication yes
```
2. Jalankan perintah spesifik sistem berikut untuk memulai ulang layanan SSHD:
  - CentOS
```
service sshd restart
```
  - Ubuntu
```
service ssh restart
```
Jalankan perintah berikut untuk masuk ke klien Linux sebagai pengguna domain AD:
```
ssh localhost -l usera1@example-company.com
```
Jika keluaran yang mirip dengan contoh berikut muncul, masuk ke klien Linux berhasil.
Pasang sistem file SMB pada klien Linux.
1. Jalankan perintah spesifik sistem berikut untuk menginstal toolkit yang diperlukan untuk memasang sistem file SMB:
  - Ubuntu
```
sudo apt-get install keyutils cifs-utils
```
  - CentOS
```
sudo yum install keyutils cifs-utils
```
2. Tanyakan informasi tentang file keytab.
  Jalankan perintah id untuk melihat UID dan GID setelah masuk.
3. Jalankan perintah berikut untuk memasang sistem file:
```
sudo mount -t cifs //205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare /mnt -o vers=2.1,sec=krb5,cruid=371801107,uid=371801107,gid=371800513  --verbose
```
  Dalam perintah sebelumnya, 205dee4****-uub48.us-west-1.nas.aliyuncs.com menentukan nama domain target pemasangan sistem file. Gantilah sesuai dengan kebutuhan bisnis Anda.
  Catatan
  Jika Anda mengaktifkan Enable Transport Encryption saat mengonfigurasi ACL untuk sistem file SMB di konsol NAS, ubah vers=2.1 dalam perintah sebelumnya menjadi vers=3.0.
Aktifkan fitur pemasangan otomatis.
Setelah memasang sistem file, aktifkan fitur pemasangan otomatis. Setelah memulai ulang klien Linux, sistem file akan dipasang secara otomatis.
1. Tambahkan entri berikut ke file konfigurasi /etc/auto.master:
```
/share    /etc/auto.cifs    --timeout=30 --ghost
```
2. Ubah isi file konfigurasi /etc/auto.cifs berdasarkan contoh berikut:
```
* -fstype=cifs,vers=2.1,sec=krb5,cruid=${UID},uid=${UID},gid=${GID},file_mode=0700,dir_mode=0700 ://205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare/&
```
  Daftar berikut menjelaskan parameter utama. Ganti nilai parameter berdasarkan kebutuhan bisnis Anda.
  - cruid dan uid: ID pengguna lokal bernama usera1.
  - gid: ID grup pengguna lokal bernama usera1.
  - 205dee4****-uub48.us-west-1.nas.aliyuncs.com: nama domain target pemasangan sistem file.
    Untuk mendapatkan nama domain target pemasangan sistem file, lakukan langkah-langkah berikut: Masuk ke konsol NAS. Di halaman File System List, temukan sistem file yang ingin Anda lihat, dan klik ikon . Gerakkan penunjuk mouse ke atas ikon di kolom Mount Target.
3. Jalankan perintah berikut untuk memulai ulang layanan autofs:
```
systemctl restart autofs.service
```
4. Periksa apakah fitur pemasangan otomatis diaktifkan sesuai harapan.
  Sebagai contoh, Anda membuat direktori bernama //205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare/usera1, lalu berikan izin akses penuh kepada semua pengguna pada direktori usera1.
  Masuk ke klien Linux sebagai pengguna domain AD dan jalankan perintah ls /share/usera1. Jika isi direktori usera1 dalam sistem file SMB ditampilkan, fitur pemasangan otomatis telah diaktifkan.

Metode 2: Hubungkan klien Linux ke Server AD dan kemudian pasang sistem file SMB pada klien Linux

Masuk ke klien Linux.
Hubungkan klien Linux ke Server AD.
- Ubuntu
  1. Jalankan perintah berikut untuk menginstal paket konfigurasi yang diperlukan untuk terhubung ke Server AD:
    sudo apt-get -y install keyutils cifs-utils krb5-user
  2. Konfigurasikan DNS.
    Jalankan perintah berikut untuk menonaktifkan fitur pembaruan otomatis DNS:
    sudo systemctl disable systemd-resolved sudo systemctl stop systemd-resolved
    Tambahkan alamat IP Server AD ke file /etc/resolv.conf.
    Jalankan perintah ping. Ping nama Server AD untuk memeriksa konektivitas jaringan.
- CentOS
  1. Jalankan perintah berikut untuk menginstal paket konfigurasi yang diperlukan untuk terhubung ke Server AD:
    sudo yum install keyutils cifs-utils krb5-workstation
  2. Konfigurasikan DNS.
    Tambahkan alamat IP Server AD ke file konfigurasi /etc/resolv.conf, lalu hapus pengaturan server DNS default dari file tersebut. Jalankan perintah ping. Ping nama Server AD untuk memeriksa konektivitas jaringan.
  3. Konfigurasikan Kerberos.
    Tambahkan kode berikut ke file konfigurasi /etc/krb5.conf:
    default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
Simpan informasi tiket tentang target pemasangan sistem file SMB.
1. Jalankan perintah berikut untuk membuat pengguna lokal bernama usera1 dan menampilkan UID dan GID pengguna lokal tersebut. Lalu, catat UID dan GID pengguna lokal tersebut.
```
useradd usera1
su - usera1
id
```
2. Jalankan perintah berikut untuk menggunakan pengguna lokal untuk menyimpan informasi tiket tentang target pemasangan sistem file SMB:
```
kinit administrator@EXAMPLE-COMPANY.COM
klist
```
Pasang sistem file SMB pada klien Linux.
1. Jalankan perintah spesifik sistem berikut untuk menginstal toolkit yang diperlukan untuk memasang sistem file SMB:
  - Ubuntu
```
sudo apt-get install keyutils cifs-utils
```
  - CentOS
```
sudo yum install keyutils cifs-utils
```
2. Jalankan perintah berikut untuk memasang sistem file:
```
sudo mount -t cifs //205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare /mnt -o vers=2.1,sec=krb5,cruid=1004,uid=1004,gid=1004  --verbose
```
  Dalam perintah sebelumnya, 205dee4****-uub48.us-west-1.nas.aliyuncs.com menentukan nama domain target pemasangan sistem file. Gantilah sesuai dengan kebutuhan bisnis Anda.
  Catatan
  Jika Anda mengaktifkan Enable Transport Encryption saat mengonfigurasi ACL untuk sistem file SMB di konsol NAS, ganti vers=2.1 dalam perintah sebelumnya dengan vers=3.0.
Aktifkan fitur pemasangan otomatis.
Setelah memasang sistem file, aktifkan fitur pemasangan otomatis. Setelah memulai ulang klien Linux, sistem file akan dipasang secara otomatis.
1. Tambahkan entri berikut ke file konfigurasi /etc/auto.master:
```
/share    /etc/auto.cifs    --timeout=30 --ghost
```
2. Ubah isi file konfigurasi /etc/auto.cifs berdasarkan contoh berikut:
```
* -fstype=cifs,vers=2.1,sec=krb5,cruid=${UID},uid=${UID},gid=${GID},file=${GID},file_mode=0700,dir_mode=0700 ://205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare/&
```
  Daftar berikut menjelaskan parameter utama. Ganti nilai parameter berdasarkan kebutuhan bisnis Anda.
  - cruid dan uid: ID pengguna lokal bernama usera1.
  - gid: ID grup pengguna lokal bernama usera1.
  - 205dee4****-uub48.us-west-1.nas.aliyuncs.com: nama domain target pemasangan sistem file.
    Untuk mendapatkan nama domain target pemasangan sistem file, lakukan langkah-langkah berikut: Masuk ke konsol NAS. Di halaman File System List, temukan sistem file yang ingin Anda lihat, dan klik ikon . Gerakkan penunjuk mouse ke atas ikon di kolom Mount Target.
3. Jalankan perintah berikut untuk memulai ulang layanan autofs:
```
systemctl restart autofs.service
```
4. Periksa apakah fitur pemasangan otomatis diaktifkan sesuai harapan.
  Sebagai contoh, Anda membuat direktori bernama //205dee4****-uub48.us-west-1.nas.aliyuncs.com/myshare/usera1, lalu berikan izin akses penuh kepada semua pengguna pada direktori usera1.
  Masuk ke klien Linux sebagai pengguna domain AD dan jalankan perintah ls /share/usera1. Jika isi direktori usera1 dalam sistem file SMB ditampilkan, fitur pemasangan otomatis telah diaktifkan.

Gunakan alat cifsacl untuk mengelola ACL sistem file SMB

Anda dapat menjalankan perintah getcifsacl dan setcifsacl untuk mengelola ACL sistem file SMB. Contoh:

getcifsacl usera1/

sudo setcifsacl -a "ACL:S-1-5-21-3076751034-3769290925-1520581464-513:ALLOWED/OI|CI|I/FULL" usera1/