silvesterlangen.de

Samba 4 Active Directory

Geht es um die zentrale Verwaltung von Benutzer, Computer und Berechtigungen in einem heterogenen Netzwerk, dann wird die Auswahl an möglicher Software gewaltig eng. Microsoft hat mit seinem Active Directory ein wirklich mächtiges Werkzeug entwickelt, um dieser Aufgabe gerecht zu werden und hat damit seit 17 Jahren (seit Windows 2000) Erfahrung. Das ist eine Tatsache, die sich nicht ausblenden lässt. Administratoren, die auf Gratisdienste setzen wollen oder sogar müssen können eine Windows-Domäne mit Samba4 erstellen.

Dabei lässt sich der Samba4 AD Server problemlos als erster Domänen-Controller, weiterer Domänen-Controller und Read-Only-Domänen-Controller (RODC) ohne viel Aufwand installieren und mit den Verwaltungstools von Windows verwalten. In diesem Howto beschreibe ich die Installation und das Anlegen einer Domäne.

Voraussetzungen

Ich gehe von einem frisch installierten Debian Jessie aus ohne weiteren Schnickschnack. Die Partition muss EXT4 mit aktivierter Option user_xattr sein. Eine Internetverbindung ist ebenfalls nötig. Außerdem erwarte ich ausreichendes Grundwissen, um Dateien zu kopieren, löschen, verschieben, umbenennen und editieren zu können.

Samba Installation

Wir brauchen nur zwei Pakete zu installieren. Darin befindet sich alles was wir brauchen. Wir loggen uns als Root ein und geben Zwecks Installation folgende Zeile ein:

apt-get install krb5-config winbind smbclient samba dnsutils -y

Das -y bezweckt, dass wir nicht mehr gefragt werden, ob wir die Pakete installieren wollen.

Die Konfiguration

Ich neige dazu alte Konfigurationsdateien nicht zu löschen sondern als .old abzuspeicheren. Also benennen wir einfach die alte smb.conf in smb.conf.old um.

mv /etc/samba/smb.conf /etc/samba/smb.conf.old

Jetzt können wir die Konfiguration beginnen. Dazu geben wir einfach folgendes ein:

samba-tool domain provision

Das Tool fragt nun einige wichtige Dinge ab, die es für Active Directory benötigt. In den eckigen Klammern stehen die Werte, die er als Default nehmen wird, wenn keine Angabe gemacht wird. Besonders auf die Domäne (Realm/Domain) ist zu achten, denn die muss stimmen. Dann noch ein Password vergeben, was den Windows-Passwort-Richtlinien entspricht. Ich nehmen dazu gerne Pa$$w0rd, weil es alles enthält was die Richtlinie verlangt.

Die Kerberos-Config kopieren:

Jetzt die Start-Stop-Scripts

Nun öffnen wir die /etc/samba/smb.conf die gerade neu geschrieben wurde und fügen dort zwei weitere Zeilen ein. Hier mal meine smb.conf. Die hinzugefügten Zeile sind markiert.

Jetzt muss der Samba4-Server (unser Active Directory Domain Controller) neu gestartet werden. Das macht man mit:

/etc/init.d/samba restart

Es kann (muss nicht) zu Problemen bei der Einrichtung von Netzlaufwerken kommen. Der folgende Befehl sorgt dafür, dass das nicht passiert.

net rpc rights grant 'brainworld\Domain Admins' SeDiskOperatorPrivilege -Uadministrator

Dann noch einen Blick in die /etc/resolv.conf werfen. Hier sollte die IP des Nameservers auf die IP des Domänen-Controllers geändert werden, da er selbst ja DNS ist. Falls er Namen nicht auflösen kann, dann verbindet er sich mit dem NS, der in der smb.conf unter dem Punkt dns forwarders hinterlegt ist.

Und das war es jetzt auch schon. Nun gehen wir auf einen Windows Computer rüber und installieren die Remote Server Administration Tools (RSAT). Die kann man gratis bei M$ herunterladen. Für jede Windows-Version (Win7/Win8/Win10 usw haben jeweils eine eigene Version!) Danach wie gewohnt einen Domänenbeitritt des Windows-Computers machen und als Domänen-Admin dann einloggen. Die RSAT-Tools installieren und schon sollte alles funktionieren.

Zusatz:

Wer möchte (und das bietet sich ja quasi an) macht sich eine Freigabe auf dem DC für die Domänenbenutzer. Dazu fügt man in die /etc/samba/smb.conf noch folgenden Block unten an und startet Samba neu. Dabei natürlich den Pfad anpassen! Danach noch mit dem Windows-Computer auf die Freigabe gehen. Dazu einfach den Datei-Explorer öffnen und oben als Pfadangabe \\brainworld eingeben. Schon landet man auf dem Server und kann unterhalb von "brainworld\private" Ordner anlegen und nötige Rechte vergeben.

Die Zeit

w32tm /stripchart /computer:homeserver.brainworld.lpic

• Willkommen
• Begrifflichkeiten
• Projektmanagement
• SQL Datenbank
• Programmierung C#
• Programmierung Python
• Windows 10 im Unternehmen
• Windows Server
• Exchange 2013
• Exchange 2016
• Probleme und Lösungen
• Systemsicherheit
• ESXi 6
• Asterisk*
• Linux
  • Apache2.4
  • Nginx
  • APCUPSd
  • AMDGPU-Pro Treiber Ubuntu 16.04 LTS
  • Bashscripting
  • Systemmonitoring
  • +Grundlagen und Diverses
  • LVM
  • DNS
  • Postfix Mailserver
  • DHCP
  • NTP Zeitserver
  • NFS
  • Monitoring
  • vsFTPd
  • Iptables
  • Squid (Proxy)
  • OpenVPN
  • RAID-Level
  • iSCSI
  • Samba
    • Samba 4 Active Directory
    • Einfache Freigabe ohne Auth
    • Cryptotrojaner auf Samba verhindern
  • NIC Bonding
  • +FailOver mit Heartbeat/DRBD
  • FailOver mit Corosync/Pacemaker
  • Virenscanner ClamAV
  • MySQL Replication
  • Dovecot Mail Replikation
  • Debian zu Proxmox
  • Backups mit Linux
  • MalwareDetect
  • PXEboot
  • Nessus
  • SaltStack
  • Wake on Lan
  • Spectre Meltdown Check
  • Virtualisierung
  • Wine Installation
  • ZoneMinder
  • OpenSSH
  • OpenSSL
  • Rocket.Chat
  • Btrfs
  • vim
  • OpenVZ
  • apt-mirror
  • ZFS
  • GlusterFS
  • Shinobi CCTV
  • Debian härten nach CIS Benchmark
  • Dirs & Files mit Inotify überwachen
  • Fail2Ban
  • UFW
• Pi-Hole
• pfSense
• Opsi
• UCS Domain Controller
• Proxmox PVE
• HPE Aruba 2930F Switch Serie
• IoT-Geräte
• Zahlensysteme
• Hardware
• Netzwerke
• Mein Netzwerk
• Diverses
• AEVO-Prüfung
• Prüfungsvorbereitung
• Personalführung
• LPIC-2 Zertifizierung
• Impressum
• Datenschutzerklärung
• IT-Witze & -Sprüche