Geht es um die zentrale Verwaltung von Benutzer, Computer und Berechtigungen in einem heterogenen Netzwerk, dann wird die Auswahl an möglicher Software gewaltig eng. Microsoft hat mit seinem Active Directory ein wirklich mächtiges Werkzeug entwickelt, um dieser Aufgabe gerecht zu werden und hat damit seit 17 Jahren (seit Windows 2000) Erfahrung. Das ist eine Tatsache, die sich nicht ausblenden lässt. Administratoren, die auf Gratisdienste setzen wollen oder sogar müssen können eine Windows-Domäne mit Samba4 erstellen.
Dabei lässt sich der Samba4 AD Server problemlos als erster Domänen-Controller, weiterer Domänen-Controller und Read-Only-Domänen-Controller (RODC) ohne viel Aufwand installieren und mit den Verwaltungstools von Windows verwalten. In diesem Howto beschreibe ich die Installation und das Anlegen einer Domäne.
Voraussetzungen
Ich gehe von einem frisch installierten Debian Jessie aus ohne weiteren Schnickschnack. Die Partition muss EXT4 mit aktivierter Option user_xattr sein. Eine Internetverbindung ist ebenfalls nötig. Außerdem erwarte ich ausreichendes Grundwissen, um Dateien zu kopieren, löschen, verschieben, umbenennen und editieren zu können.
Samba Installation
Wir brauchen nur zwei Pakete zu installieren. Darin befindet sich alles was wir brauchen. Wir loggen uns als Root ein und geben Zwecks Installation folgende Zeile ein:
apt-get install krb5-config winbind smbclient samba dnsutils -y
Das -y bezweckt, dass wir nicht mehr gefragt werden, ob wir die Pakete installieren wollen.
Die Konfiguration
Ich neige dazu alte Konfigurationsdateien nicht zu löschen sondern als .old abzuspeicheren. Also benennen wir einfach die alte smb.conf in smb.conf.old um.
mv /etc/samba/smb.conf /etc/samba/smb.conf.old
Jetzt können wir die Konfiguration beginnen. Dazu geben wir einfach folgendes ein:
samba-tool domain provision
Das Tool fragt nun einige wichtige Dinge ab, die es für Active Directory benötigt. In den eckigen Klammern stehen die Werte, die er als Default nehmen wird, wenn keine Angabe gemacht wird. Besonders auf die Domäne (Realm/Domain) ist zu achten, denn die muss stimmen. Dann noch ein Password vergeben, was den Windows-Passwort-Richtlinien entspricht. Ich nehmen dazu gerne Pa$$w0rd, weil es alles enthält was die Richtlinie verlangt.
Die Kerberos-Config kopieren:
Jetzt die Start-Stop-Scripts
cp /var/lib/samba/private/krb5.conf /etc/
systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind
systemctl unmask samba-ad-dc
systemctl start samba-ad-dc
systemctl enable samba-ad-dc
Nun öffnen wir die /etc/samba/smb.conf die gerade neu geschrieben wurde und fügen dort zwei weitere Zeilen ein. Hier mal meine smb.conf. Die hinzugefügten Zeile sind markiert.
Jetzt muss der Samba4-Server (unser Active Directory Domain Controller) neu gestartet werden. Das macht man mit:
/etc/init.d/samba restart
Es kann (muss nicht) zu Problemen bei der Einrichtung von Netzlaufwerken kommen. Der folgende Befehl sorgt dafür, dass das nicht passiert.
net rpc rights grant 'brainworld\Domain Admins' SeDiskOperatorPrivilege -Uadministrator
Dann noch einen Blick in die /etc/resolv.conf werfen. Hier sollte die IP des Nameservers auf die IP des Domänen-Controllers geändert werden, da er selbst ja DNS ist. Falls er Namen nicht auflösen kann, dann verbindet er sich mit dem NS, der in der smb.conf unter dem Punkt dns forwarders hinterlegt ist.
Und das war es jetzt auch schon. Nun gehen wir auf einen Windows Computer rüber und installieren die Remote Server Administration Tools (RSAT). Die kann man gratis bei M$ herunterladen. Für jede Windows-Version (Win7/Win8/Win10 usw haben jeweils eine eigene Version!) Danach wie gewohnt einen Domänenbeitritt des Windows-Computers machen und als Domänen-Admin dann einloggen. Die RSAT-Tools installieren und schon sollte alles funktionieren.
Zusatz:
Wer möchte (und das bietet sich ja quasi an) macht sich eine Freigabe auf dem DC für die Domänenbenutzer. Dazu fügt man in die /etc/samba/smb.conf noch folgenden Block unten an und startet Samba neu. Dabei natürlich den Pfad anpassen! Danach noch mit dem Windows-Computer auf die Freigabe gehen. Dazu einfach den Datei-Explorer öffnen und oben als Pfadangabe \\brainworld eingeben. Schon landet man auf dem Server und kann unterhalb von "brainworld\private" Ordner anlegen und nötige Rechte vergeben.
Die Zeit
w32tm /stripchart /computer:homeserver.brainworld.lpic