silvesterlangen.de

Seite
Menü

Samba 4 Active Directory

Geht es um die zentrale Verwaltung von Benutzer, Computer und Berechtigungen in einem heterogenen Netzwerk, dann wird die Auswahl an möglicher Software gewaltig eng. Microsoft hat mit seinem Active Directory ein wirklich mächtiges Werkzeug entwickelt, um dieser Aufgabe gerecht zu werden und hat damit seit 17 Jahren (seit Windows 2000) Erfahrung. Das ist eine Tatsache, die sich nicht ausblenden lässt. Administratoren, die auf Gratisdienste setzen wollen oder sogar müssen können eine Windows-Domäne mit Samba4 erstellen.

Dabei lässt sich der Samba4 AD Server problemlos als erster Domänen-Controller, weiterer Domänen-Controller und Read-Only-Domänen-Controller (RODC) ohne viel Aufwand installieren und mit den Verwaltungstools von Windows verwalten. In diesem Howto beschreibe ich die Installation und das Anlegen einer Domäne.

 

Voraussetzungen

Ich gehe von einem frisch installierten Debian Jessie aus ohne weiteren Schnickschnack. Die Partition muss EXT4 mit aktivierter Option user_xattr sein. Eine Internetverbindung ist ebenfalls nötig. Außerdem erwarte ich ausreichendes Grundwissen, um Dateien zu kopieren, löschen, verschieben, umbenennen und editieren zu können.

 

Samba Installation

Wir brauchen nur zwei Pakete zu installieren. Darin befindet sich alles was wir brauchen. Wir loggen uns als Root ein und geben Zwecks Installation folgende Zeile ein:

apt-get install krb5-config winbind smbclient samba dnsutils -y

Das -y bezweckt, dass wir nicht mehr gefragt werden, ob wir die Pakete installieren wollen.

 

Die Konfiguration

Ich neige dazu alte Konfigurationsdateien nicht zu löschen sondern als .old abzuspeicheren. Also benennen wir einfach die alte smb.conf in smb.conf.old um.

mv /etc/samba/smb.conf /etc/samba/smb.conf.old

Jetzt können wir die Konfiguration beginnen. Dazu geben wir einfach folgendes ein:

samba-tool domain provision

Das Tool fragt nun einige wichtige Dinge ab, die es für Active Directory benötigt. In den eckigen Klammern stehen die Werte, die er als Default nehmen wird, wenn keine Angabe gemacht wird. Besonders auf die Domäne (Realm/Domain) ist zu achten, denn die muss stimmen. Dann noch ein Password vergeben, was den Windows-Passwort-Richtlinien entspricht. Ich nehmen dazu gerne Pa$$w0rd, weil es alles enthält was die Richtlinie verlangt.

Die Kerberos-Config kopieren:

cp /var/lib/samba/private/krb5.conf /etc/

 

Jetzt die Start-Stop-Scripts

cp /var/lib/samba/private/krb5.conf /etc/
systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind
systemctl unmask samba-ad-dc
systemctl start samba-ad-dc
systemctl enable samba-ad-dc

 

Nun öffnen wir die /etc/samba/smb.conf die gerade neu geschrieben wurde und fügen dort zwei weitere Zeilen ein. Hier mal meine smb.conf. Die hinzugefügten Zeile sind markiert.

# Global parameters
[global]
workgroup = BRAINWORLD
realm = BRAINWORLD.LOCAL
netbios name = DC1
server role = active directory domain controller
dns forwarder = 10.10.10.3
server services = s3fs rpc nbt wrepl ldap cldap kdc drepl winbind ntp_signd kcc dns dnsupdate
bind interfaces only = false
[netlogon]
path = /var/lib/samba/sysvol/test.lan/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
 

Jetzt muss der Samba4-Server (unser Active Directory Domain Controller) neu gestartet werden. Das macht man mit:

/etc/init.d/samba restart

Es kann (muss nicht) zu Problemen bei der Einrichtung von Netzlaufwerken kommen. Der folgende Befehl sorgt dafür, dass das nicht passiert.

net rpc rights grant 'brainworld\Domain Admins' SeDiskOperatorPrivilege -Uadministrator

Dann noch einen Blick in die /etc/resolv.conf werfen. Hier sollte die IP des Nameservers auf die IP des Domänen-Controllers geändert werden, da er selbst ja DNS ist. Falls er Namen nicht auflösen kann, dann verbindet er sich mit dem NS, der in der smb.conf unter dem Punkt dns forwarders hinterlegt ist.

Und das war es jetzt auch schon. Nun gehen wir auf einen Windows Computer rüber und installieren die Remote Server Administration Tools (RSAT). Die kann man gratis bei M$ herunterladen. Für jede Windows-Version (Win7/Win8/Win10 usw haben jeweils eine eigene Version!) Danach wie gewohnt einen Domänenbeitritt des Windows-Computers machen und als Domänen-Admin dann einloggen. Die RSAT-Tools installieren und schon sollte alles funktionieren.

 

Zusatz:

Wer möchte (und das bietet sich ja quasi an) macht sich eine Freigabe auf dem DC für die Domänenbenutzer. Dazu fügt man in die /etc/samba/smb.conf noch folgenden Block unten an und startet Samba neu. Dabei natürlich den Pfad anpassen! Danach noch mit dem Windows-Computer auf die Freigabe gehen. Dazu einfach den Datei-Explorer öffnen und oben als Pfadangabe \\brainworld eingeben. Schon landet man auf dem Server und kann unterhalb von "brainworld\private" Ordner anlegen und nötige Rechte vergeben.

[private]
path = /srv/addc/private
read only = No
 
Weitere Freigaben schafft man sich dann mit weiteren dieser Blöcke.
 

Die Zeit

Achtet darauf, dass die Zeit zwischen DC und Client nicht erheblich abweicht. Erheblich ist alles >5 Min. Im günstigen Fall installiert man sich einen NTP-Server und lässt per GPO die Windows-Clients daran syncen. Ob die Verbindung zum NTPd funtioniert kann man wie folgt feststellen:
w32tm /stripchart /computer:homeserver.brainworld.lpic

« vorige Seite Seitenanfang nächste Seite »
Seite
Menü
Earned Certificates:
LPIC-1 LPIC-1 LPIC-1
Powered by CMSimple | Template by CMSimple | Login