Samba 4 – Das Praxisbuch für Administratoren - AWS · PDF fileLeseprobe Mit diesem...

LeseprobeMit diesem Buch haben Sie Ihre Samba-4-Umgebung voll im Griff. In dieser Leseprobe lernen Sie den Umgang mit der Benutzer- und Clientverwaltung. Außerdem können Sie einen Blick in das vollstän-dige Inhalts- und Stichwortverzeichnis des Buches werfen.

Stefan Kania

Samba 4 – Das Praxisbuch für Administratoren352 Seiten, gebunden, Juni 2014 39,90 Euro, ISBN 978-3-8362-2973-9

www.galileo-press.de/3664

»Die Benutzerverwaltung« »Verwaltung von Clients in der Domäne«

Inhalt

Index

Der Autor

Leseprobe weiterempfehlen

Wissen, wie’s geht.

http://www.galileocomputing.de/3664?GPP=lpn

mailto:?body=Leseproben-Empfehlung:%20%C2%BBSamba%204%20%E2%80%93%20Das%20Praxisbuch%20f%C3%BCr%20Administratoren%C2%AB%20von%20Galileo%20Press,%20http://gxmedia.galileo-press.de/leseproben/3664/leseprobe_galileocomputing_samba4.pdf&subject=Leseprobe:%20%C2%BBSamba%204%20%E2%80%93%20Das%20Praxisbuch%20f%C3%BCr%20Administratoren%C2%AB

Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.

S. 43 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4

3

Kapitel 3

Die Benutzerverwaltung

Nach der Installation des ersten Domaincontrollers geht es jetzt um die Ver-

waltung der Gruppen und Benutzer. Unter Samba4 haben Sie verschiedene

Möglichkeiten, die Benutzer und Gruppen zu verwalten. Da wäre zum einen die

Verwaltung auf der Kommandozeile: Diese Möglichkeit ist sehr gut geeignet, um

viele Benutzer und Gruppen gleichzeitig anzulegen oder zu ändern. Zum anderen

können Sie die von Microsoft frei verfügbaren Remote Server Administration

Tools (RSAT) nutzen. Über die RSAT können Sie eine Samba4-Domäne genau so

verwalten wie eine echte Microsoft-Active-Directory-Domäne. Es gibt zusätzlich

verschiedene webbasierte Werkzeuge, die Sie nutzen können. Hier im Buch soll der

LDAP-Account-Manager (LAM) als Beispiel zum Einsatz kommen.

Nachdem im vorherigen Kapitel die komplette Installation und Konfiguration des ersten

Domaincontrollers abgeschlossen wurde und Sie jetzt eine Active-Directory-Domäne haben,

soll es jetzt um die Verwaltung der Gruppen und Benutzer gehen. An die Linux-Admins unter

Ihnen: Sie müssen hier etwas umlernen, aber einen positiven Punkt möchte ich am Anfang

hervorheben. Anders als bei Samba 3 müssen Sie bei Samba 4 kein Linux-Konto erstellen,

bevor Sie ein Samba-Konto erstellen können. Hier zeigen sich ganz klar die Unterschiede in

dem Konzept von Samba3 und Samba4. Sie legen nur noch ein Samba-Konto an. Der Samba

4-Server sorgt später über das ID-Mapping dafür, dass auch Linux-Benutzer das System zur

Authentifizierung nutzen können.

Aber wo Licht ist, ist auch irgendwo Schatten: Da Samba 4 für die Verwaltung einer Win-

dows-Umgebung ausgelegt ist, ist die Verwaltung der Linux-Benutzer ganz anderen Regeln

unterworfen, als Sie es gewohnt sind. Beim Anlegen der Benutzer werden Sie den ersten

Unterschied feststellen, denn das Kommando useradd und andere Kommandos zur Benut-

zerverwaltung werden Sie jetzt nicht mehr benötigen. Das Hauptaugenmerk liegt hier in

erster Linie auf der Verwaltung von Windows-Benutzern und Gruppen. Aber selbstverständ-

lich können sich auch Linux-Benutzer gegen das Active Directory authentifizieren und über

Freigaben auf das Dateisystem zugreifen.

Aber die Linux-Benutzer unterliegen jetzt denselben Richtlinien wie die Windows-Benutzer.

Das heißt, die Authentifizierung findet über Kerberos statt, alle Benutzer liegen immer im

LDAP und die Freigaben werden über cifs verwaltet. Aber das größte Augenmerk müssen Sie

auf das Mapping der UID und GID Ihrer Benutzer und Gruppen legen. Die beiden Attribute

43



3 Die Benutzerverwaltung

sind unter Windows keine Standardattribute und werden über das ID-Mapping von Samba4

bereitgestellt.

Im Verlauf des Buches werde ich das Thema ID-Mapping immer wieder aufgreifen, um Ihnen

zu zeigen, wie Sie mit dem Mapping umgehen müssen, um ein einheitliches Mapping in

Ihrer Domäne auf allen Linux-Systemen zu bekommen.

Für die Benutzerverwaltung unter Samba4 gibt es jetzt verschieden Wege:

E mit dem Samba4-Werkzeug samba-tool

Mit dem samba-tool können Sie Benutzer und Gruppen über die Kommandozeile verwal-

ten. Damit haben Sie dann auch die Möglichkeit, mehrere Benutzer über Skripte anzule-

gen, zu ändern oder zu löschen.

E über einen Windows-Client mit den Windows Remote Administration Tools (RSAT)

Für Windows können Sie die Windows Remote Server Administration Tools (RSAT) bei

Microsoft herunterladen und dann von Windows aus die Verwaltung von Benutzern und

Gruppen vornehmen. Voraussetzung ist mindestens Windows7 Professional.

E mit dem LDAP-Account-Manager (LAM)

Dank dem Einsatz von Roland Gruber gibt es jetzt ein Modul für den LAM, mit dem

Sie die Benutzer und Gruppen von Samba 4 über das webbasierte Werkzeug verwalten

können, obwohl bei Samba 4 kein openLDAP zum Einsatz kommt, sondern ein eigener

LDAP-Server.

3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile

Im ersten Teil geht es um die Verwaltung der Benutzer und Gruppen über die Kommando-

zeile. Die gesamte Verwaltung der Benutzer und Gruppen erfolgt hier über das Kommando

samba-tool. Das samba-tool ist die Zusammenfassung der unter Samba3 bekannten net-Tools

und des Kommandos pdbedit und ersetzt diese bei der Verwaltung von Gruppen und Benut-

zern vollständig.

Als Linux-Administrator werden Sie anfangs versuchen, alle Benutzer und Gruppen über

die Kommandozeile zu verwalten, was theoretisch möglich ist. Aber Sie werden sehr schnell

feststellen, dass es an manchen Stellen einfacher ist, Benutzer über die RSAT zu verwalten –

besonders, wenn es darum geht, die Vielzahl an Attributen eines Benutzers zu verändern.

Als Windows-Administrator werden Sie auf der anderen Seite auch schnell die Vorzüge der

Verwaltung der Benutzer und Gruppen über die Kommandozeile schätzen lernen. Besonders

dann, wenn Sie mehrere Benutzer auf einmal anlegen wollen, denn dann können Sie das

Kommando samba-tool recht einfach in Shell-Skripten einsetzen.

Deshalb folgt jetzt eine ausführliche Erklärung der Benutzerverwaltung über die Komman-

dozeile mit aussagekräftigen Beispielen.

44



3


3.1.1 Verwaltung von Gruppen über die Kommandozeile

Mit dem Kommando samba-tool group verwalten Sie die Gruppen. Zu dem Kommando gibt

es die verschiedenen Optionen für die Verwaltung. Wenn Sie auf der Kommandozeile nur das

Kommando samba-tool group eingeben, dann erhalten Sie eine Hilfe zu dem Kommando. In

Listing 3.1 sehen Sie die Hilfe:

root@samba4-1:~# samba-tool group

Usage: samba-tool group <subcommand>

Group management.

Options:

-h, --help show this help message and exit

Available subcommands:

add - Creates a new AD group.

addmembers - Add members to an AD group.

delete - Deletes an AD group.

list - List all groups.

listmembers - List all members of an AD group.

removemembers - Remove members from an AD group.

For more help on a specific subcommand, please type: samba-tool group\

<subcommand> (-h|--help)

Listing 3.1 Hilfe zu »samba-tool group«

In den folgenden Abschnitten werde ich auf alle Subkommandos eingehen, aber nicht in der

Reihenfolge, wie sie in der Hilfe aufgelistet sind. So haben Sie die Möglichkeit, alle Beispiele

direkt auszuprobieren.

Auflisten der Gruppen mit »group list«

Eine Übersicht über alle Gruppen im System erhalten Sie, wie in Listing 3.2 zu sehen, mit

samba-tool group list:

root@samba4-1:~# samba-tool group list

Allowed RODC Password Replication Group

Enterprise Read-Only Domain Controllers

Denied RODC Password Replication Group

Pre-Windows 2000 Compatible Access

Windows Authorization Access Group

Certificate Service DCOM Access

Network Configuration Operators

Terminal Server License Servers

Incoming Forest Trust Builders

45




Read-Only Domain Controllers

Group Policy Creator Owners

Performance Monitor Users

Cryptographic Operators

Distributed COM Users

Performance Log Users

Remote Desktop Users

Account Operators

Event Log Readers

RAS and IAS Servers

Backup Operators

Domain Controllers

Server Operators

Enterprise Admins

Print Operators

Administrators

Domain Computers

Cert Publishers

DnsUpdateProxy

Domain Admins

Domain Guests

Schema Admins

Domain Users

Replicator

IIS_IUSRS

DnsAdmins

Guests

Users

Listing 3.2 Auflisten der Gruppen

Hier sehen Sie eine Liste aller Gruppen, die nach der Installation des Systems vorhanden

sind. Bei diesen Gruppen handelt es sich um Gruppen, die auch für die Verwaltung des ADs

unter Windows benötigt werden.

Löschen Sie keine der Gruppen

Löschen Sie keine der hier aufgelisteten Gruppen aus Ihrem System. Alle diese Gruppen haben

eine feste Bedeutung in der Windows-Welt und werden immer mit einem festen Security

Identifier (SID) verwaltet. Löschen Sie eine der Gruppen, kann das dazu führen, dass Sie Ihre

Domäne neu aufsetzen müssen.

46



3


Auflisten der Gruppenmitglieder einer Gruppe mit »group listmembers <group>«

Wenn Sie wissen wollen, welche Benutzer Mitglied einer Gruppe sind, können Sie, wie in

Listing 3.3 zu sehen, dies mit samba-tool group listmembers <group> überprüfen:

root@samba4-1:~# samba-tool group listmembers administrators

Administrator

Enterprise Admins

Domain Admins

Listing 3.3 Auflisten der Gruppenmitglieder

Beim Auflisten der Gruppe administrators sehen Sie, dass die Gruppe Domain Admins Mitglied

der Gruppe ist. Samba 4 kann mit den verschachtelten Gruppen umgehen. Auch Sie können

später bei der Administration Gruppen verschachteln. Im Gegensatz zu Samba3 müssen Sie

bei Samba 4 die Möglichkeit der verschachtelten Gruppen nicht mehr in der Datei smb.conf

aktivieren.

Anlegen einer neuen Gruppe mit »group add <groupname>«

Eine neue Gruppe können Sie mit dem Kommando samba-tool group add <groupname> zu

Ihrer Gruppenliste hinzufügen. Listing 3.4 zeigt das Anlegen einer neuen Gruppe:

root@samba4-1:~# samba-tool group add datengruppe

Added group datengruppe

Listing 3.4 Anlegen einer neuen Gruppe

Die gerade angelegte Gruppe ist eine reine Windows-Gruppe. Sie können die Gruppe mit

dem Kommando wbinfo -g sehen, aber im Moment noch nicht mit getent group. In Lis-

ting 3.5 sehen Sie die Liste der Gruppen:

root@samba4-1:~# wbinfo -g

Enterprise Read-Only Domain Controllers

Domain Admins

Domain Users

Domain Guests

Domain Computers

Domain Controllers

Schema Admins

Enterprise Admins

Group Policy Creator Owners

Read-Only Domain Controllers

DnsUpdateProxy

datengruppe

Listing 3.5 Liste der Gruppen

47




Auch können Sie mit chgrp <neu-Gruppe> <Eintrag> keine Berechtigungen setzen. Das Set-

zen der Rechte wäre im Moment nur über die GID möglich, da die Namen noch nicht aufge-

löst werden können.

Für die Verwendung der Gruppe unter Linux müssen Sie das ID-Mapping aktivieren. Hier

müssen Sie zwischen dem ID-Mapping auf einem Domaincontroller und dem ID-Mapping

auf einem Fileserver oder einem Linux-Client unterscheiden. Auf dem Domaincontroller

übernimmt Samba 4 selbst das ID-Mapping und weist den Windows-Benutzern und -Grup-

pen eigene IDs zu. Auf einen Fileserver oder einem Linux-Client übernimmt der winbind

diese Aufgabe. Mehr zu dieser Problematik erfahren Sie in Kapitel 7, »Verwaltung von Cli-

ents in der Domäne«, und Kapitel 8, »Zusätzliche Server in der Domäne«.

Um die Gruppen auch im Linux-System sehen und nutzen zu können, muss die Datei

/etc/nsswitch.conf wie in Listing 3.6 angepasst werden:

passwd compat winbind

group compat winbind

shadow compat winbind

Listing 3.6 Anpassen der Datei »nsswitch.conf«

Nach der Anpassung der Datei /etc/nsswitch.conf können Sie nun mit dem Kommando

getent group alle Gruppen sehen und auch Rechte an die Gruppen über die Kommando-

zeile vergeben.

Wenn Sie später auf dem Domaincontroller keine Daten speichern wollen oder keine Ver-

waltung der Rechte über die Kommandozeile vornehmen wollen, brauchen Sie die Datei

/etc/nsswitch.conf nicht anzupassen.

In Listing 3.7 sehen Sie, dass die Domänengruppen mit aufgelistet werden:

root@samba4-1:~# getent group

root:x:0:

daemon:x:1:

.

.

.

mlocate:x:105:

ssh:x:106:

stka:x:1000:

messagebus:x:107:

ntp:x:108:

EXAMPLE\Enterprise Read-Only Domain Controllers:*:3000017:

EXAMPLE\Domain Admins:*:3000008:

EXAMPLE\Domain Users:*:100:

EXAMPLE\Domain Guests:*:3000012:

48



3


EXAMPLE\Domain Computers:*:3000018:

EXAMPLE\Domain Controllers:*:3000019:

EXAMPLE\Schema Admins:*:3000007:

EXAMPLE\Enterprise Admins:*:3000006:

EXAMPLE\Group Policy Creator Owners:*:3000004:

EXAMPLE\Read-Only Domain Controllers:*:3000020:

EXAMPLE\DnsUpdateProxy:*:3000021:

EXAMPLE\datengruppe:*:3000022:

Listing 3.7 Auflisten der Gruppen mit »getent group«

Hinzufügen eines oder mehrerer Benutzer zu einer bestehenden Gruppe mit »group add-

members <groupname> <members>«

Über das Kommando samba-tool group addmembers <groupname> <members> können Sie meh-

rere Benutzer gleichzeitig zu einer Gruppe hinzufügen. Listing 3.8 zeigt dieses Vorgehen:

root@samba4-1:~# samba-tool group addmembers datengruppe "Domain Users"

Added members to group datengruppe

root@samba4-1:~# samba-tool group listmembers datengruppe

Domain Users

Listing 3.8 Gruppenmitglieder hinzufügen

Da Sie Gruppen verschachteln können, können Sie auch eine oder mehrere der Standard-

gruppen zu Ihrer Gruppe hinzufügen.

Achten Sie darauf, dass einige der Gruppen ein Leerzeichen im Namen haben. Dann müssen

Sie den Gruppennamen beim Hinzufügen in Hochkommata setzen.

Sie können mit dem Kommando samba-tool group addmembers <groupname> <members> keine

lokalen Gruppen des Systems zu den AD-Gruppen hinzufügen, da diese Gruppen nur auf

dem System vorhanden sind und nicht im AD.

Keine Verwendung von lokalen Gruppennamen

Verwenden Sie für neue Gruppen keine Namen, die in der lokalen Gruppenverwaltung über

die Datei /etc/group Verwendung finden. Die lokalen Gruppen haben immer Priorität vor den

Gruppen aus dem AD. Wenn Sie jetzt also eine Gruppe im AD anlegen, die denselben Namen

hat wie eine lokale Gruppe, wird das System bei der Rechtevergabe immer die lokale Gruppe

verwenden.

49




Entfernen von einem oder mehreren Benutzern aus einer Gruppe mit »group remove-

members <groupname> <members>«

Wenn Sie einen oder mehrere Benutzer aus einer Gruppe entfernen möchten, geht das mit

dem Kommando samba-tool group removemembers <groupname> <members>. In Listing 3.9 se-

hen Sie ein Beispiel:

root@samba4-1:~# samba-tool group removemembers datengruppe "Domain Users"

Removed members from group datengruppe

Listing 3.9 Entfernen von Mitgliedern

Sie können hier auch mehrere Mitglieder, durch Leerzeichen getrennt, aus der Gruppe ent-

fernen.

3.1.2 Verwaltung von Benutzern über die Kommandozeile

Für die Verwaltung der Benutzer verwenden Sie das Kommando samba-tool user. Genau wie

bei der Verwaltung der Gruppen gibt es auch hier wieder Subkommandos für die verschie-

denen Aufgaben. Sehen Sie in Listing 3.10:

root@samba4-1:~# samba-tool user

Usage: samba-tool user <subcommand>

User management.

Options:

-h, --help show this help message and exit

Available subcommands:

add - Create a new user.

create - Create a new user.

delete - Delete a user.

disable - Disable an user.

enable - Enable an user.

list - List all users.

password - Change password for a user account (the one provided\

in authentication).

setexpiry - Set the expiration of a user account.

setpassword - Set or reset the password of a user account.

For more help on a specific subcommand, please type: samba-tool user\

<subcommand> (-h|--help)

Listing 3.10 Hilfe zum Kommando »samba-tool user«

50



3


Auch hier werde ich wieder auf alle Subkommandos näher eingehen, sodass Sie die Beispiele

gleich testen können.

Auflisten der Benutzer mit »user list«

Alle Benutzer können Sie sich mit dem Kommando samba-tool user list anzeigen lassen.

In Listing 3.11 sehen Sie eine Liste alle Benutzer nach der Installation des Systems:

root@samba4-1:~# samba-tool user list

Administrator

dns-samba4-1

krbtgt

Guest

Listing 3.11 Auflistung aller Benutzer

Wie schon zuvor bei den Gruppen sehen Sie hier alle Benutzer, die während der Installation

angelegt werden. Auch hier gilt: Löschen Sie keinen der Benutzer.

Anlegen eines Benutzers mit »user create <username> <password>«

Um einen neuen Benutzer über die Kommandozeile anzulegen, verwenden Sie das Kom-

mando samba-tool user create username <password>. Achten Sie bei dem Passwort auf die

Komplexitätsregel. In Listing 3.12 sehen Sie ein Beispiel mit einem Passwort, das diesen Re-

geln nicht entspricht.

root@samba4-1:~# samba-tool user create Stefan geheim --given-name=Stefan\

--surname=Kania

samba-tool user create Stefan geheim --given-name=Stefan --surname=Kania

ERROR(ldb): Failed to add user 'Stefan': - 0000052D: Constraint\

violation - check_password_restrictions: the \

password does not meet the complexity criteria!

Listing 3.12 Passwort, das nicht den Komplexitätsregeln entspricht

Komplexitätsregeln bei Passwörtern

Für die Komplexitätsregeln gilt: Es müssen mindestens Groß- und Kleinbuchstaben und Zah-

len verwendet werden oder aber mindestens ein Sonderzeichen.

Sie müssen also immer drei verschiedene Zeichengruppen beim Passwort verwenden, und die

Mindestlänge eines Passworts ist sieben Zeichen.

Alle Benutzer, die Sie über die Kommandozeile anlegen, werden immer in der Organisations-

einheit cn=Users,DC=example,DC=net angelegt. Wenn Sie später eine komplexe AD-Struktur

51




angelegt haben, müssen Sie die neuen Benutzer auf jeden Fall immer verschieben. In Lis-

ting 3.13 sehen Sie das erfolgreiche Anlegen eines neuen Benutzers:

root@samba4-1:~# samba-tool user create Stefan geheim\!123\

--given-name=Stefan --surname=Kania

User 'Stefan' created successfully

root@samba4-1:~# samba-tool user list

Administrator

Stefan

dns-samba4-1

krbtgt

Guest

Listing 3.13 Erfolgreiches Anlegen eines Benutzers

Wie Sie in dem Beispiel sehen, können Sie beim Anlegen des Benutzers gleich weitere Para-

meter mit angeben. In diesem Beispiel sind es der Vor- und der Nachname. Alle Werte, die im

AD verwendet werden, können hier mit übergeben werden. Da es sich dabei um eine größere

Anzahl von Parametern handelt, kann an dieser Stelle nicht darauf eingegangen werden. Bei

der Benutzerverwaltung mit grafischen Werkzeugen werden Sie alle Parameter sehen und

anpassen können.

In Listing 3.14 sehen Sie, wie Sie einen Benutzer ohne weitere Parameter anlegen können:

root@samba4-1:~# samba-tool user create ktom

New Password:

Retype Password:

User 'ktom' created successfully

Listing 3.14 Ein weiterer Benutzer

Da dieses Mal kein Passwort beim Anlegen des Benutzers mitgegeben wurde, wird jetzt nach

dem Passwort für den Benutzer gefragt.

Das Heimatverzeichnis des Benutzers wird nicht mit angelegt, das müssen Sie selbst auf dem

entsprechenden Server anlegen und mit Rechten versehen. Auch müssen Sie das Heimatver-

zeichnis noch dem Benutzer zuweisen. Mehr dazu finden Sie in Kapitel 4, »Verwaltung von

Freigaben und Logonskripten«

Nach dem Anlegen des Benutzers können Sie sich den Benutzer wieder mit samba-tool user

list auflisten lassen. Auch die Benutzer sehen Sie wieder mit wbinfo -u. Wie schon bei den

Gruppen werden die neuen Benutzer mit getent passwd nur angezeigt, wenn Sie die Datei

/etc/nsswitch.conf angepasst haben. In Listing 3.15 sehen Sie sowohl das Ergebnis von wbinfo

-u als auch von getent passwd:

52



3


root@samba4-1:~# wbinfo -u

Administrator

Guest

krbtgt

Stefan

ktom

root@samba4-1:~# getent passwd

root:x:0:0:root:/root:/bin/bash

.

.

.

stka:x:1000:1000:stka,,,:/home/stka:/bin/bash

messagebus:x:104:107::/var/run/dbus:/bin/false

ntp:x:105:108::/home/ntp:/bin/false

EXAMPLE\Administrator:*:0:100::/home/EXAMPLE/Administrator:/bin/false

EXAMPLE\Guest:*:3000011:3000012::/home/EXAMPLE/Guest:/bin/false

EXAMPLE\krbtgt:*:3000023:100::/home/EXAMPLE/krbtgt:/bin/false

EXAMPLE\Stefan:*:3000024:100:Stefan Kania:/home/EXAMPLE/Stefan:/bin/false

EXAMPLE\ktom:*:3000025:100::/home/EXAMPLE/ktom:/bin/false

Listing 3.15 Auflisten der Benutzer

In manchen Anleitungen finden Sie noch das Kommando samba-tool user add <username>

<password>. Dieses Kommando ist nur aus Kompatibilitätsgründen noch vorhanden und soll-

te nicht verwendet werden. Lesen Sie dazu auch die man-page zum Kommando samba-tool.

Deaktivieren eines Benutzers mit »samba-tool user disable <username>«

Wenn Sie einen bestehenden Benutzer nur deaktivieren wollen, weil der Benutzer sich zur

Zeit nicht anmelden darf oder soll, können Sie den Benutzer einfach deaktivieren und müs-

sen ihn nicht gleich löschen. In Listing 3.16 sehen Sie ein Beispiel für das Deaktivieren eines

Benutzers:

root@samba4-1:~# samba-tool user disable Stefan

Listing 3.16 Deaktivieren eines Benutzers

Leider erhalten Sie bei samba-tool user disable<username> keine Meldung. Ob das so gewollt

ist oder im Moment noch ein Bug ist, wird sich noch herausstellen.

Aktivieren eines deaktivierten Benutzers mit »samba-tool user enable <username>«

Um einen zuvor deaktivierten Benutzer wieder zu aktivieren, verwenden Sie das Kommando

samba-tool user enable <username> so, wie Sie in Listing 3.17 sehen können:

53




root@samba4-1:~# samba-tool user enable Stefan

Enabled user 'Stefan'

Listing 3.17 Aktivieren eines Benutzers

Hier bekommen Sie eine Meldung, dass der Benutzer wieder aktiviert wurde.

Ändern des Passworts eines Benutzers mit »samba-tool user setpassword <username>«

Für den Fall, dass ein Benutzer sein Passwort vergessen hat, oder wenn Sie einem Benutzer

aus einem anderen Grund ein neues Passwort zuweisen wollen, verwenden Sie das Kom-

mando samba-tool user setpassword <username>. In Listing 3.18 sehen Sie ein Beispiel dafür:

root@samba4-1:~# samba-tool user setpassword Stefan

New Password:

Changed password OK

Listing 3.18 Setzen des Passworts eines Benutzers

Beim Setzen eines neuen Passworts müssen Sie wieder auf die Komplexitätsregeln achten.

Das neue Passwort wird nur einmal eingegeben. Achten Sie also darauf, was Sie eingeben.

Sonst müssen Sie den Vorgang wiederholen.

Ändern des persönlichen Passworts durch den Benutzer mit »samba-tool user password«

Natürlich kann ein Benutzer sein Passwort auch selbst über die Kommandozeile verändern.

Dafür gibt es das Kommando samba-tool user password. In Listing 3.19 sehen Sie diesen Vor-

gang:

EXAMPLE\stefan@samba4-1:~# samba-tool user password

Password for [EXAMPLE\stefan]:

New Password:

Retype Password:

Changed password OK

Listing 3.19 Änderung des Passworts durch den Benutzer

Da der Benutzer immer erst sein altes Passwort angeben muss, wird er bei der Änderung des

eigenen Passworts immer zweimal aufgefordert, sein neues Passwort einzugeben. Denn soll-

te an der Stelle das Passwort falsch eingegeben worden sein, hat der Benutzer keine Chance

mehr, sein Passwort zu ändern, da er immer zuerst nach dem alten Passwort gefragt wird.

Löschen eines Benutzers mit »samba-tool user delete <username>«

Wenn Sie einen Benutzer aus dem System entfernen wollen, nutzen Sie dafür das Komman-

do user delete <username> so, wie Sie es in Listing 3.20 sehen:

54



3


root@samba4-1:~# samba-tool user delete Stefan

Deleted user Stefan

Listing 3.20 Löschen eins Benutzers

Denken Sie daran, dass ein eventuelles Heimatverzeichnis des Benutzers nicht automatisch

gelöscht wird.

3.1.3 Ändern und Suchen von Benutzern mit den ldb-tools

Natürlich können Sie auch über die Kommandozeile nach Benutzern und Gruppen suchen

und diese mittels Skripten verändern. Dazu gibt es verschiedene Kommandos. Wenn Sie

bis jetzt vielleicht schon mit openLDAP gearbeitet haben, wird Ihnen die Syntax bekannt

vorkommen.

Auflisten von Benutzern mittels »ldbsearch«

Mit dem Kommando ldbsearch können Sie nach Objekten suchen. Natürlich können Sie hier

Filter verwenden, um die Ergebnisse einzugrenzen. In Listing 3.21 sehen Sie ein Beispiel für

die Suche mit ldbsearch:

root@samba4-1:~# ldbsearch -H ldaps://localhost "cn=Stefan Kania"

search error - LDAP error 1 LDAP_OPERATIONS_ERROR - <00002020:\

Operation unavailable without authentication> <>

root@samba4-1:~# ldbsearch -H ldaps://localhost "cn=Stefan Kania"\

-Uadministrator

Password for [EXAMPLE\administrator]:

# record 1

dn: CN=Stefan Kania,CN=Users,DC=example,DC=net

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: user

cn: Stefan Kania

sn: Kania

givenName: Stefan

instanceType: 4

whenCreated: 20131123151229.0Z

whenChanged: 20131123151229.0Z

displayName: Stefan Kania

uSNCreated: 3717

name: Stefan Kania

objectGUID: 9308101e-e97e-458c-bbac-93c346cffc56

55




badPwdCount: 0

codePage: 0

countryCode: 0

badPasswordTime: 0

lastLogoff: 0

lastLogon: 0

primaryGroupID: 513

objectSid: S-1-5-21-1304111860-2806216092-3514381476-1104

accountExpires: 9223372036854775807

logonCount: 0

sAMAccountName: Stefan

sAMAccountType: 805306368

userPrincipalName: [email protected]

objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=example,DC=net

pwdLastSet: 130296931490000000

userAccountControl: 512

uSNChanged: 3719

distinguishedName: CN=Stefan Kania,CN=Users,DC=example,DC=net

# Referral

ref: ldap://example.net/CN=Configuration,DC=example,DC=net

# Referral

ref: ldap://example.net/DC=DomainDnsZones,DC=example,DC=net

# Referral

ref: ldap://example.net/DC=ForestDnsZones,DC=example,DC=net

# returned 4 records

# 1 entries

# 3 referrals


# 1 entries

# 1 referrals

Listing 3.21 Beispiel für die Suche mit »ldbsearch«

Im ersten Teil dieses Beispiels sehen Sie, was passiert, wenn Sie ohne eine Authentifizierung

versuchen, auf das AD zuzugreifen. Denken Sie daran: Wenn Sie über das Netz auf den AD

zugreifen, müssen Sie sich immer authentifizieren. Im zweiten Versuch gelingt die Suche, da

hier der administrator für die Authentifizierung verwendet wird.

56



3


In Listing 3.22 wird nicht über das Netz auf die Benutzerdatenbank zugegriffen, sondern

direkt auf die Benutzerdatenbank auf dem Domaincontroller:

root@samba4-1:~# ldbsearch --url=/var/lib/samba/private/sam.ldb "cn=Stefan Kania"

# record 1


objectClass: top

objectClass: person


objectClass: user

cn: Stefan Kania

sn: Kania

givenName: Stefan

instanceType: 4




uSNCreated: 3717

name: Stefan Kania


badPwdCount: 0

codePage: 0

countryCode: 0

badPasswordTime: 0

lastLogoff: 0

lastLogon: 0

primaryGroupID: 513

objectSid: S-1-5-21-1304111860-2806216092-3514381476-1104


logonCount: 0





pwdLastSet: 130296931490000000


uSNChanged: 3719


# Referral


# Referral


57




# Referral



# 1 entries

# 3 referrals

Listing 3.22 Zugriff direkt auf die Datenbank

Wie Sie hier sehen, können Sie direkt auf dem Server auf die Datenbankdatei zugreifen. Bei

diesem Zugriff wird keine Authentifizierung benötigt. Der Zugriff wird hier über die Datei-

systemrechte gesteuert. Zugriff auf die Datei hat aber nur der root, sodass ein normaler Be-

nutzer diese Möglichkeit nicht nutzen kann. Auch ein Zugriff über den lokalen LDAP-Socket,

wie in Listing 3.23 gezeigt, ist möglich. Auch hier kann dieser Zugriff nur vom Benutzer root

durchgeführt werden, da auch hier nur der root Rechte am Socket hat.

root@samba4-1:~# ldbsearch -H ldapi:///var/lib/samba/private/ldap_priv/\

ldapi "cn=Stefan Kania"

# record 1


objectClass: top

objectClass: person


objectClass: user

cn: Stefan Kania

sn: Kania

givenName: Stefan

instanceType: 4




uSNCreated: 3717

name: Stefan Kania


badPwdCount: 0

codePage: 0

countryCode: 0

badPasswordTime: 0

lastLogoff: 0

lastLogon: 0

primaryGroupID: 513

objectSid: S-1-5-21-1304111860-2806216092-3514381476-1104


logonCount: 0

58



3






pwdLastSet: 130296931490000000


uSNChanged: 3719


# Referral


# Referral


# Referral



# 1 entries

# 3 referrals

Listing 3.23 Zugriff auf den lokalen LDAP-Socket

Auch eine eingeschränkte Suche auf bestimmte Attribute ist möglich, wie Sie in Listing 3.24

sehen können:

root@samba4-1:~# ldbsearch -H ldapi:///var/lib/samba/private/ldap_priv/ldapi\

"cn=Stefan Kania" attr sn givenName

# record 1


sn: Kania

givenName: Stefan

# Referral


# Referral


# Referral



59




# 1 entries

# 3 referrals

Listing 3.24 Eingeschränkte Suche

Ändern eines Objektes mit »ldbedit«

Mit dem Kommando ldbedit können Sie einzelne Objekte ändern und die Änderung wieder

im AD speichern. Für die Änderung wird der bei Ihnen im System eingestellte Standardeditor

verwendet. In Listing 3.25 sehen Sie den Aufruf von ldbedit:

root@samba4-1:~# ldbedit -H ldapi:///var/lib/samba/private/ldapi\

-Uadministrator sAMAccountName=stefan


# 0 adds 1 modifies 0 deletes

Listing 3.25 Ändern eines Objekts mittels »ldbedit«

Wenn Sie beim Editieren einen Fehler machen, wird die Änderung nicht gespeichert und Sie

bekommen eine Fehlermeldung, wie in Listing 3.26 zu sehen ist:

root@samba4-1:~# ldbedit -H ldapi:///var/lib/samba/private/ldapi\

-Uadministrator sAMAccountName=stefan


failed to modify CN=Stefan Kania,CN=Users,DC=example,DC=net \

- LDAP error 16 LDAP_NO_SUCH_ATTRIBUTE - \

<acl_modify: attribute 'ivenName' on\

entry 'CN=Stefan Kania,CN=Users,DC=example,DC=net'\

was not found in the schema!> <>

Listing 3.26 Fehlerbehandlung beim Editieren mit »ldbedit«

Ändern eines Objektes mit »ldbmodify«

Sie können einzelne Attribute eines oder mehrerer Objekte auch mithilfe des Komman-

dos ldbmodify und einer ldif-Datei ändern. Als Erstes erstellen Sie eine ldif-Datei wie in Lis-

ting 3.27:

dn: cn=ktom,cn=users,dc=example,dc=net

changetype: modify

replace: sn

sn: Tom

-

add: description

description: Ein Benutzer

Listing 3.27 Änderung eines Objektes mit »ldbmodify«

60



3


Anschließend spielen Sie die Änderung, wie Sie in Listing 3.28 sehen können, ein:

root@samba4-1:~# ldbmodify -H ldapi:///var/lib/samba/private/ldapi\

-Uadministrator ktom.ldif


Modified 1 records successfully

Listing 3.28 Einspielen der Änderung

Wollen Sie ein weiteres Objekt mit derselben ldif-Datei ändern, können Sie dieses einfach

durch eine Leerzeile in die Datei eintragen. In Listing 3.29 sehen Sie ein Beispiel für eine

ldif-Datei mit mehreren Objekten:

dn: cn=ktom,cn=users,dc=example,dc=net

changetype: modify

replace: sn

sn: Tom

-

add: description

description: Ein Benutzer

dn: cn=Stefan Kania,cn=users,dc=example,dc=net

changetype: modify

replace: sn

sn: Stefan

-

add: description

description: Ein weiterer Benutzer

Listing 3.29 »ldif«-Datei zur Änderung mehrerer Objekte

Sie sehen hier, dass die Objekte immer durch eine Leerzeile getrennt sind und die einzelnen

Attribute durch eine Zeile, in der nur ein Minuszeichen steht.

In der Leerzeile zwischen den Objekten darf wirklich kein Zeichen stehen, auch kein Leerzei-

chen und kein Tabulator.

3.1.4 Verwendung von »ldapsearch«

Sie können sich alle Objekte auch von einem beliebigen Linux-Client aus auflisten lassen.

Dazu verwenden Sie das Kommando ldapsearch aus dem Paket ldap-utils. Nachdem Sie das

Paket installiert haben, passen Sie die Datei /etc/ldap/ldap.conf so wie in Listing 3.30 an:

61




BASE dc=example,dc=net

URI ldap://samba4-1.example.net

Listing 3.30 Anpassung der Datei »ldap.conf«

Anschließend können Sie mit ldapsearch das AD durchsuchen. Der Zugriff auf das AD ist

nur über einen strong-bind möglich, also dürfen Sie die Option -x auf keinen Fall setzen. Die

Filter, die Sie von der Verwendung unter openLDAP kennen, funktionieren aber auch hier. In

Listing 3.31 sehen Sie einen Zugriff mittels ldapsearch auf das AD:

root@lam:~# ldapsearch -D "cn=administrator,cn=users,dc=example,dc=net" \

"(cn=Stefan Kania)" -W -LLL

Enter LDAP Password:


objectClass: top

objectClass: person


objectClass: user

cn: Stefan Kania

sn: Kania

givenName: Stefan

instanceType: 4




uSNCreated: 3717

name: Stefan Kania

objectGUID:: HhAIk37pjEW7rJPDRs/8Vg==

badPwdCount: 0

codePage: 0

countryCode: 0

badPasswordTime: 0

lastLogoff: 0

lastLogon: 0

primaryGroupID: 513

objectSid:: AQUAAAAAAAUVAAAA9Cq7TZx1Q6ekNHnRUAQAAA==


logonCount: 0





pwdLastSet: 130296931490000000


62



3

3.2 Die »Remote Server Administration Tools« (RSAT)

uSNChanged: 3719


# refldap://example.net/CN=Configuration,DC=example,DC=net

# refldap://example.net/DC=DomainDnsZones,DC=example,DC=net

# refldap://example.net/DC=ForestDnsZones,DC=example,DC=net

Listing 3.31 Auflisten von Objekten mit »ldapsearch«

Wie Sie sehen, lassen sich sehr viele Aufgaben über die Kommandozeile erledigen. Aber

aufgrund der Komplexität der Konten sollten Sie besser eine der grafischen Möglichkeiten

wählen, wenn es darum geht, im täglichen Geschäft Benutzer zu verwalten. Um eine größere

Anzahl an Gruppen und Benutzern zu verwalten, ist das Kommando samba-tool aber sehr

gut geeignet.


Microsoft hat für die Verwaltung einer AD-Domäne Werkzeuge bereitgestellt, mit denen

Sie die Domäne von einer Windows-Workstation aus administrieren können. Sie benötigen

lediglich eine Windows 7-Professional-Version. Die Workstation muss Mitglied der Domäne

sein, die Sie von dort aus verwalten wollen. In diesem Teil der Benutzerverwaltung geht es

jetzt darum, die RSAT zu installieren und dann Gruppen und Benutzer über die RSAT zu

verwalten.

3.2.1 Einrichtung der »Remote Server Administration Tools« (RSAT)

Passen Sie den DNS-Server am Client an

Damit Sie den Client überhaupt erfolgreich in die Domäne aufnehmen können, müssen Sie

dafür sorgen, dass auf der Workstation in den Einstellungen des Netzwerks der DNS-Server

der neuen Domäne eingetragen ist. Ohne diesen Eintrag klappt der Beitritt zur Domäne nicht,

da der Client den Domaincontroller über DNS sucht.

Hierbei wird nicht nur der Name des Domaincontrollers über DNS gesucht, sondern auch die

Dienste Kerberos und LDAP.

Um Benutzer und Gruppen über die Windows Remote Server Administration Tools (RSAT)

verwalten zu können, müssen Sie mindestens einen Client mit Windows 7 Professional in

Ihrer Domäne haben. Aus diesem Grund nehmen Sie jetzt erst den Windows 7-Rechner in die

63




Domäne auf. Melden Sie sich hierfür als lokaler Administrator an Ihrer Windows 7-Worksta-

tion an, klicken Sie anschließend auf Start, und klicken Sie dann mit der rechten Maustaste

auf Computer O Eigenschaften. Dort finden Sie die Schaltfläche Einstellungen ändern.

Durch einen Klick auf die Schaltfläche öffnet sich ein neues Fenster. In diesem Fenster kön-

nen Sie jetzt den NetBIOS-Namen und die Domänenzugehörigkeit ändern. Achten Sie darauf,

dass bei Vollständiger Computername der fqdn des Clients eingetragen ist.

Zum Beitritt zur Samba 4-Domäne klicken Sie auf die Schaltfläche Ändern.... In dem neuen

Fenster wählen Sie den Punkt Domäne aus und geben den Domänennamen an. Hier wird

der NetBIOS-Name der Domäne verlangt. Hier im Buch lautet er example. Klicken Sie anschlie-

ßend auf die Schaltfläche OK. Es erscheint ein Fenster, in dem Sie den Benutzernamen, in

diesem Fall administrator, und dessen Passwort eingeben müssen.

In Abbildung 3.1 sehen Sie alle Fenster für den Vorgang.

Abbildung 3.1 Client in die Domäne aufnehmen

Nach einem Klick auf die Schaltfläche OK dauert es eine Weile, bis Sie die Meldung Willkommen

in der Domäne example erhalten, so wie Sie es in Abbildung 3.2 sehen.

64



3


Abbildung 3.2 Erfolgreiche Aufnahme des Clients in die Domäne

Um die Einstellung wirksam werden zu lassen, müssen Sie Windows neu starten. Nach dem

Neustart können Sie sich jetzt als Domänenadministrator anmelden, so wie Sie es in Abbil-

dung 3.3 sehen.

Abbildung 3.3 Erste Anmeldung

65




Im Kapitel 7 wird auf die Verwaltung von Clients in der Domäne noch genauer eingegangen.

Wenn Sie sich als administrator anmelden, müssen Sie immer den Domänennamen voran-

stellen, da sonst eine Anmeldung als lokaler Administrator durchgeführt wird. Wenn Sie sich

als Benutzer der Domäne anmelden, reicht der Benutzername.

Nachdem Sie sich als Domänenadministrator angemeldet haben, laden Sie die RSAT von der

URL http://www.microsoft.com/de-de/download/details.aspx?id=7887 herunter und installie-

ren diese. Bei den RSAT handelt es sich nicht um eine zusätzliche Software, sondern die RSAT

werden wie ein Update behandelt und installiert.

Nach der Installation können Sie die RSAT nicht sofort nutzen, Sie müssen sie erst aktivieren.

Öffnen Sie hierfür die Systemsteuerung, und klicken Sie dann auf Programme und Funk-

tionen. Dort klicken Sie dann auf Windows-Funktionen aktivieren oder deaktivieren.

Es öffnet sich ein neues Fenster, in dem Sie jetzt die RSAT über den Unterpunkt Remote-

server-Verwaltungstools aktivieren. Sie müssen alle Unterpunkte öffnen und dann alle

gewünschten Funktionen separat aktivieren, wie Sie das in Abbildung 3.4 sehen.

Abbildung 3.4 Konfiguration der »RSAT«

Anschließend klicken Sie auf OK. Jetzt werden Die RSAT im System aktiviert. Jetzt können Sie

über Start O Alle Programme O Verwaltung auf die RSAT zugreifen.

66



3

3.3 Benutzer- und Gruppenverwaltung mit dem »LAM«

3.2.2 Benutzer- und Gruppenverwaltung mit den »RSAT«

Wenn Sie das Tool Active Directory-Benutzer und -Computer starten, können Sie die von Ihnen

erstellte Domäne sehen und Benutzer und Gruppen verwalten.

Die vorher über die Kommandozeile erzeugten Benutzer und Gruppen sehen Sie im unteren

Teil der Abbildung markiert. Wenn Sie einen neuen Benutzer, eine neue Gruppe oder einen

neuen Host anlegen wollen, führen Sie einen Rechtsklick auf die rechte Seite des Fensters aus.

Dann öffnet sich ein Kontextmenü. Dort klicken Sie auf Neu, und es öffnet sich ein neues

Menü, in dem Sie dann das entsprechende Objekt auswählen können. In Abbildung 3.5 sehen

Sie als Beispiel das Anlegen eines neuen Benutzers.

Abbildung 3.5 Anlegen eines neuen Benutzers

So können Sie jetzt Schritt für Schritt alle Benutzer und Gruppen über Ihren Windows-Client

anlegen und verwalten. Mehr zum Aufbau einer Active Directory-Struktur finden Sie im

Workshop in Abschnitt 18.7.


Der ein oder andere von Ihnen kennt den LDAP-Account-Manager (LAM) bereits als Werkzeug

für den openLDAP. Seit der Version 4.2 ist der LAM auch in der Lage, Samba 4 zu verwalten.

67




Da mit dem LAM eine Möglichkeit besteht, den Samba 4 auch über einen Webzugriff zu

verwalten, soll in diesem Abschnitt etwas genauer auf den LAM eingegangen werden.

3.3.1 Installation des LAM

Als Erstes müssen Sie den LAM installieren. Dazu laden Sie sich die aktuelle Version des LAM

von der Webseite https://www.ldap-account-manager.org/lamcms/releases herunter.

Falls Sie die Heimatverzeichnisse der Benutzer automatisch auf einem Dateiserver anlegen

wollen, wenn Sie einen Benutzer anlegen, dann müssen Sie zusätzlich das Paket lamdaemon

mit herunterladen und installieren.

Installieren Sie die Pakete mit dem Kommando dpkg. Bei der Installation kommt es zu

nicht aufgelösten Abhängigkeiten. Diese können Sie mit apt-get -f install auflösen. In

Listing 3.32 sehen Sie die Installation:

root@lam:~# dpkg -i ldap-account-manager_4.3-1_all.deb

Vormals nicht ausgewähltes Paket ldap-account-manager wird gewählt.

(Lese Datenbank ... 40385 Dateien und Verzeichnisse sind derzeit installiert.)

Entpacken von ldap-account-manager (aus ldap-account-manager_4.3-1_all.deb)

dpkg: Abhängigkeitsprobleme verhindern Konfiguration von ldap-account-manager:

ldap-account-manager hängt ab von php5 (>= 5.2.4); aber:

Paket php5 ist nicht installiert.

ldap-account-manager hängt ab von php5-ldap; aber:

Paket php5-ldap ist nicht installiert.

ldap-account-manager hängt ab von php5-gd; aber:

Paket php5-gd ist nicht installiert.

ldap-account-manager hängt ab von apache2 | httpd; aber:

Paket apache2 ist nicht installiert.

Paket httpd ist nicht installiert.

ldap-account-manager hängt ab von php-fpdf (>= 1.7); aber:

Paket php-fpdf ist nicht installiert.

dpkg: Fehler beim Bearbeiten von ldap-account-manager (--install):

Abhängigkeitsprobleme - verbleibt unkonfiguriert

Fehler traten auf beim Bearbeiten von:

ldap-account-manager

root@lam:~# apt-get -f install

Paketlisten werden gelesen... Fertig

Abhängigkeitsbaum wird aufgebaut.

Statusinformationen werden eingelesen.... Fertig

Abhängigkeiten werden korrigiert ... Fertig

68



3


Die folgenden zusätzlichen Pakete werden installiert:

apache2-mpm-prefork apache2-utils apache2.2-bin apache2.2-common\

fontconfig-config libapache2-mod-php5 libapr1 libaprutil1\

libaprutil1-dbd-sqlite3 libaprutil1-ldap libfontconfig1\

libgd2-xpm libjpeg8 libonig2 libpng12-0 libqdbm14\

php-fpdf php5 php5-cli php5-common php5-gd php5-ldap\

ssl-cert ttf-dejavu-core

Vorgeschlagene Pakete:

apache2-doc apache2-suexec apache2-suexec-custom php-pear libgd-tools\

ttf2pt1 openssl-blacklist

Die folgenden NEUEN Pakete werden installiert:

apache2-mpm-prefork apache2-utils apache2.2-bin apache2.2-common\

fontconfig-config libapache2-mod-php5 libapr1 libaprutil1\

libaprutil1-dbd-sqlite3 libaprutil1-ldap libfontconfig1\

libgd2-xpm libjpeg8 libonig2 libpng12-0 libqdbm14\

php-fpdf php5 php5-cli php5-common php5-gd php5-ldap\

ssl-cert ttf-dejavu-core

0 aktualisiert, 24 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.

1 nicht vollständig installiert oder entfernt.

Es müssen 9.849 kB an Archiven heruntergeladen werden.

Nach dieser Operation werden 30,1 MB Plattenplatz zusätzlich benutzt.

Möchten Sie fortfahren [J/n]?

.

.

.

Trigger für libapache2-mod-php5 werden verarbeitet ...

[ ok ] Reloading web server config: apache2.

ldap-account-manager (4.3-1) wird eingerichtet ...

[ ok ] Reloading web server config: apache2.

Listing 3.32 Installation des »LAM«

Nach der Installation der Abhängigkeiten können Sie mit dpkg -l | grep ldap-account prü-

fen, ob der LAM vollständig installiert wurde.

Nach der Installation können Sie den LAM jetzt über einen Browser erreichen. Geben Sie

dafür in Ihrem Browser die URL http://<ip-webserver/lam> ein.

Daraufhin erhalten Sie das Fenster aus Abbildung 3.6.

69




Abbildung 3.6 Erster Zugriff auf den »LAM«

3.3.2 Konfiguration des »LAM«

Bevor Sie mit dem LAM Ihren Samba 4 administrieren können, müssen Sie den LAM erst

konfigurieren. Klicken Sie dazu auf LAM configuration in der oberen rechten Ecke des

Startbildschirms. Sie erhalten daraufhin eine neue Ansicht. Dort wählen Sie den Punkt Edit

general settings. Bei der Abfrage nach dem Passwort geben Sie das Standardpasswort lam

ein und klicken auf OK.

Auf der folgenden Seite können Sie Einstellungen für den LAM vornehmen. Alle Einstellun-

gen zu den Passwörtern betreffen nur die Anmeldung am LAM und haben nichts mit den

Einstellungen der Benutzer zu tun.

An dieser Stelle reicht es, wenn Sie erst einmal das Masterpasswort ändern und dann spei-

chern, so wie es die Abbildung 3.7 zeigt.

Für die Verwendung von ldaps anstelle von ldap können Sie hier auch schon das Zertifikat

von Ihren Domaincontroller importieren. Geben Sie den fqdn ihres Server an und klicken Sie

anschließend auf Import from Server.

70



3


Abbildung 3.7 Setzen des Masterpassworts

Anschließend landen Sie wieder auf der Anmeldeseite des LAM. Klicken Sie hier wieder auf

LAM configuration. Jetzt geht es darum, ein Profil für Ihren Samba4-Server zu erstellen. Sie

können später über diesen Punkt weitere Profile erstellen, um andere LDAP- oder AD-Server

zu verwalten.

Zwei verschiedene Accounttypen

Der LAM unterscheidet zwischen dem Hauptbenutzer, der Profile anlegen kann, und den Pro-

filverwaltern, die nur das Profil verwalten können. Hierfür haben sie vom Hauptbenutzer das

Passwort bekommen. Deshalb benötigen Sie nur eine Instanz des LAM um alle Ihre Server zu

verwalten.

Klicken Sie jetzt auf Edit server profiles. Um ein neues Profil für Ihren Samba4 zu erstellen,

klicken Sie auf Manage server profiles. Daraufhin erhalten Sie ein neues Fenster (siehe

71




Abbildung 3.8). Tragen Sie dort den Namen für Ihr Profil ein, und vergeben Sie ein Passwort,

um später das Profil verwalten zu können.

Abbildung 3.8 Erstellen eines Profils

Durch Anklicken der Schaltfläche Add fügen Sie ein neues Profil zum LAM hinzu. Um das

Profil auch anlegen zu können, werden Sie noch nach dem Masterpasswort gefragt. Danach

gelangen Sie automatisch in das neu erstellte Profil.

In dem Feld Servereinstellungen tragen Sie die Werte für Ihren Samba-Server ein. Die

folgenden Werte müssen Sie hier eingeben:

E Serveradresse

Geben Sie hier im Moment erst die IP-Adresse Ihres Samba4-Servers ein – zusammen mit

dem Port 386 und dem Protokoll ldap. Später soll diese Einstellung dann noch auf den

DNS-Namen und das Protokoll ldaps geändert werden. Dazu muss der Server, auf dem der

LAM läuft, aber erst den Namen des AD-Servers über DNS auflösen können. Zusätzlich

müssen Sie noch Konfigurationen für den LAM hinsichtlich des Zertifikats vornehmen.

E TLS aktivieren

Setzen Sie diesen Parameter unbedingt auf nein. Da später noch auf das Protokoll ldaps

72



3


umgestellt werden soll, würde das zu einem Konflikt führen, wenn Sie hier ja auswählen

würden.

E Baumansicht

An dieser Stelle müssen Sie die oberste Ebene Ihres ADs angeben. Der Name ist identisch

mit dem DNS-Domänennamen. Im Buch ist es dc=example,dc=net.

E LDAP-Suchlimit

Diesen Wert müssen Sie nur ändern, wenn durch zu viele Suchergebnisse die Netzwer-

klast zu stark ansteigt. Ein Wert ist hier immer sehr stark abhängig von Ihrer Umgebung

und der Anzahl der Objekte sowie von der Menge der Zugriffe auf den AD durch den LAM.

Ein Aussage über das »Wann und wie viel« ist hier somit nicht möglich, das müssen Sie

immer in Ihrer Umgebung testen.

In Abbildung 3.9 sehen Sie eine Zusammenfassung der Servereinstellungen.

Abbildung 3.9 Zusammenfassung der »Servereinstellungen«

Bei den Spracheinstellungen können Sie die spätere Anzeigesprache für den LAM aus-

wählen. Den Abschnitt Lamdaemon-Einstellungen können Sie im Moment überspringen;

diese Parameter werden erst relevant, wenn Sie später den lamdaemon installieren und kon-

figurieren wollen. Wichtig für die momentane Konfiguration ist nur noch der Abschnitt

Sicherheitseinstellungen. An dieser Stelle legen Sie fest, wer sich am LAM anmelden

kann und wie die Liste der gültigen Benutzer erstellt und verwaltet wird.

Für die Verwaltung stehen Ihnen zwei Methoden zur Verfügung: zum einen über eine Feste

Liste und zum anderen LDAP-Suche. Bei Feste Liste geben Sie jeden Benutzer aus dem AD

einzeln an, der auf den LAM zugreifen darf. Im Gegensatz dazu können alle Benutzer, die

über eine LDAP-Suche ab einem bestimmten Punkt im AD gefunden werden, sich am LAM

anmelden und administrativ tätig werden.

Natürlich erhalten die Benutzer über den LAM keine zusätzlichen Rechte im AD, sodass die

Benutzer nur diejenigen Objekte administrieren dürfen, auf die sie auch Rechte haben. In

Abbildung 3.10 sehen Sie die Einträge für eine Feste Liste.

73




Abbildung 3.10 Login-Methode »Feste Liste«

In Abbildung 3.11 sehen Sie die Einträge für eine LDAP-Suche.

Abbildung 3.11 »Login-Methode« »LDAP-Suche«

Welche Methode Sie wählen, ist hier Ihnen überlassen. Anfangs kann nur der Domainadmi-

nistrator zugreifen, der bei der Konfiguration des AD eingerichtet wurde. Sie müssen also

auf jeden Fall sicherstellen, dass dieser sich auch anmelden kann.

Nachdem Sie den Bereich Sicherheitseinstellungen ausgefüllt haben, klicken Sie oben

auf den Karteireiter Accounttypen. Die Standardeinstellungen beziehen sich hier alle auf

eine Kombination von openLDAP und Samba 3. Ändern Sie die Felder Benutzer, Gruppen

und Hosts wie folgt:

E Benutzer

Als LDAP-Suffix setzen Sie hier cn=users,dc=example,dc=net und ersetzen die Liste der

Attribute durch die Werte #cn;#Name;#sn;#DisplayName.

E Gruppen

Auch hier tragen Sie das LDAP-Suffix cn=users,dc=example,dc=net ein, und ersetzen Sie

die Liste der Attribute durch die Werte #cn;#description;#member.

E Hosts

Die Hosts in Ihrer Domäne liegen in einem anderen Container. Tragen Sie hierfür das

LDAP-Suffix cn=computers,dc=example,dc=net ein, und ersetzen Sie die Liste der Attribute

durch die Werte #cn;#description.

74



3


Accounttyp »Samba-Domäne« löschen

Löschen Sie unbedingt den Accounttyp Samba-Domänen, da dieser nur für Samba 3 benötigt

wird.

Nach allen Änderungen sehen alle Einträge so aus wie in Abbildung 3.12.

Abbildung 3.12 Accounttypen-Einstellung

Anschließend klicken Sie oben auf den Karteireiter Module. Hier müssen Sie jetzt die zu

verwendenden Schemata für die Objekte auswählen. Auch hier sehen die Standardeinstel-

lungen die Verwendung von openLDAP und Samba3 vor.

Hier müssen Sie alle Objektklassen bei Benutzer, Gruppen und Hosts entfernen und nur noch

die entsprechende Windows-Objektklasse auswählen, so wie Sie es in Abbildung 3.13 sehen.

75




Abbildung 3.13 Modul-Einstellung

Lassen Sie sich bei der Änderung der Listen der Schemata nicht durch die Fehlermeldungen

des LAM verwirren. Die Fehler tauchen nur deshalb auf, weil durch das Entfernen eines oder

aller Schemata die Abhängigkeiten der Schemata nicht mehr stimmen.

Jetzt können Sie am unteren Ende der Eingabemaske auf Speichern klicken, um das Profil

zu speichern. Sie gelangen dann automatisch wieder auf die Anmeldemaske des Profils. Am

oberen Rand der Maske sehen Sie die Meldung Ihre Einstellungen wurden erfolgreich

gespeichert.

Damit ist der erste Schritt der Konfiguration des LAM abgeschlossen. Jetzt müssen Sie noch

die Datei /etc/ldap/ldap.conf anpassen, damit der LAM auch den LDAP Ihres ADs erreichen

kann.

Achten Sie auf die Namensauflösung

Sorgen Sie vorher dafür, dass der Webserver, auf dem der LAM läuft, auch den Domaincontrol-

ler per DNS auflösen kann.

76



3


In diesem Schritt wird auch gleich die Vorbereitung getroffen, um später auch mittels ldaps

auf den Domaincontroller zugreifen zu können. In Listing 3.33 sehen Sie den Inhalt der Datei

ldap.conf:

#TLS_CACERT /etc/ssl/certs/ca-certificates.crt

BASE dc=example,dc=net

URI ldap://samba4-1.example.net

TLS_REQCERT never

Listing 3.33 Einstellungen in der »ldap.conf«

3.3.3 Arbeiten mit dem LAM

Nachdem Sie diese Einträge vorgenommen haben, können Sie sich jetzt das erste Mal am

LAM mit Ihrem Domainadministrator anmelden. Wenn die Einstellung über das Protokoll

ldap erfolgreich war, sollten Sie jetzt die Einstellung in Ihrem Profil auf das Protokoll ldaps

umstellen, da sonst später keine Passwörter der Benutzer verändert werden können. Ge-

hen Sie dafür wieder in die Profileinstellung des LAM, und ändern Sie die Serveradresse

in den Allgemeinen Einstellungen im Unterpunkt Servereinstellungen auf die URL

ldaps://samba4-1.example.net:636. In Abbildung 3.14 sehen Sie die Änderung.

Abbildung 3.14 Umstellung auf »ldaps«

Jetzt findet der Zugriff vom LAM auf Ihren Domaincontroller nur noch verschlüsselt statt.

Jetzt haben Sie den LAM so weit, dass Sie die ersten Benutzer und Gruppen anlegen können.

Denken Sie daran, dass der LAM noch nicht in der Lage ist, die Heimatverzeichnisse der

neuen Benutzer anzulegen. Um die Heimatverzeichnisse auch gleich mit anzulegen, muss

unbedingt der lamdaemon installiert und konfiguriert werden. Die Installation und Konfi-

guration ist aber nicht Bestandteil dieses Buches.

In Abbildung 3.15 sehen Sie die Übersichtsseite mit den drei Karteireitern Benutzer, Grup-

pen und Hosts.

77




Abbildung 3.15 Übersichtsseite des »LAM«

Unter den einzelnen Karteireitern können Sie die verschiedenen Objekttypen verwalten. In

Abbildung 3.16 sehen Sie ein Beispiel für das Anlegen eines neuen Benutzers.

Abbildung 3.16 Anlegen eines neuen Benutzers mit dem »LAM«

78



3


Nach dem Sie alle Einträge, die Sie benötigen, angepasst haben (inklusive des Passworts),

klicken Sie oben links auf die Schaltfläche Speichern. Wenn Sie keine weiteren Benutzer

anlegen wollen, dann können Sie wieder zurück auf die Übersichtsseite gehen und sehen

dort Ihren neuen Benutzer.

Alle Benutzer können Sie hier auch anpassen, indem Sie auf das Bleistiftsymbol neben dem

Benutzernamen klicken.

Eine sehr gute Funktion des LAM ist die Baumansicht. Über die Schaltfläche Baumansicht

am oberen Rand kommen Sie in diese Ansicht. Leider gibt es hier Probleme mit der Anzeige,

die Baumansicht zeigt nur die oberste Ebene Ihres Baumes.

Das Problem ist hier nicht der LAM, sondern die verwendete PHP-Version.

Es gibt eine Möglichkeit, diesen Fehler zu umgehen. Wenn Sie auf die Baumansicht und an-

schließend auf Suche klicken und dann den Container Users wie in Abbildung 3.17 angeben,

dann erhalten Sie den Container in der Baumansicht angezeigt. Diesen Vorgang können Sie

mit allen Containern durchführen.

Abbildung 3.17 Workaround für die »Baumansicht«

Anschließend erhalten Sie eine Liste aller Objekte, die in der Organisationseinheit cn=Users

enthalten sind. Klicken Sie auf cn=Users,dc=example,dc=net. Jetzt erscheint der Container

auf der linken Seite, und Sie können alle Objekte in dem Container sehen und auf diese

zugreifen (siehe Abbildung 3.18).

Leider funktioniert dieser Workaround immer nur für den Container, den Sie über die Suche

im LAM gesucht haben. Wollen Sie die Baumansicht für andere Container als den Container

cn=Users einsehen, müssen Sie nach jeden Container einzeln suchen. So haben Sie aber die

Möglichkeit, die Baumansicht zu nutzen, auch wenn Sie nicht das Recht haben, den Webser-

ver selbst zu konfigurieren.

79




Abbildung 3.18 Die Baumansicht nach dem Workaround im »LAM«

Wenn Sie direkte Änderungen am Webserver vornehmen möchten, haben Sie noch eine

andere Möglichkeit, um den Fehler zu umgehen: Sie können die Templatedateien än-

dern, über die das Verhalten des LAM gesteuert wird. Es handelt sich dabei um die Datei

/usr/share/ldap-account-manager/templates/3rdParty/pla/lib/ds_myldap.php. Öffnen Sie

die Templatedatei, und gehen Sie zur Zeile 189. Entfernen Sie dort am Anfang der Zeile die

Kommentarzeichen ldap_set_option($resource,LDAP_OPT_REFERRALS,0);.

Wichtig ist hier, dass der Wert auf 0 gesetzt ist. Nach einen Neustart des Apache und einer

erneuten Anmeldung sehen Sie jetzt die Baumstruktur so wie in Abbildung 3.19.

Ab der LAM-Version 4.5 soll es einen Parameter in der Konfiguration des LAM geben, mit

dem Sie diese Änderung durchführen können, für den Fall, dass Sie die Baumansicht nicht

angezeigt bekommen.

Deshalb hier noch mal der Hinweis: Installieren Sie auf jeden Fall immer die aktuellste Ver-

sion des LAM.

80


S. 81 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: freigaben/freigaben , Aktueller Job: samba4

3


Abbildung 3.19 Die Baumansicht

Der große Vorteil der Baumansicht ist der, dass Sie hier auch Attribute ergänzen können, die

Sie in der Verwaltung auf der Übersichtsseite nicht sehen.

Mit dem LDAP Account Manager haben Sie ein Werkzeug, mit dem Sie, im Gegensatz zu

den RSAT, die Verwaltung Ihrer Domäne auch browserbasiert durchführen können. Eine

sehr gute Anleitung zur Einrichtung des LDAP Account Managers finden Sie auch unter

https://www.ldap-account-manager.org/static/doc/manual/ch03s02.html.

81


S. 153 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4

7

Kapitel 7

Verwaltung von Clients in der Domäne

Bis zu diesem Zeitpunkt haben Sie lediglich einen Domaincontroller in Ihrem Netz-

werk. Sie haben zwar schon Benutzer und Gruppen, aber diese können sich noch

nicht an ihren Arbeitsplätzen anmelden. Jetzt geht es darum, sowohl Windows-

als auch Linux-Clients in die Domäne aufzunehmen. Ab diesem Zeitpunkt wird

auch das Thema ID-Mapping für die Linux-Benutzer und -Gruppen sehr wichtig.

Wie können Sie den Zugriff auf die Samba-Freigaben für Linux-Clients realisieren?

Auch das ist ein Thema in diesem Kapitel. Im letzten Teil dieses Kapitels geht es

darum, den Linux-Client nicht mehr über winbind an die Domäne einzubinden,

sondern den »System Security Service Daemon« zu verwenden.

Nachdem Sie den erste Domaincontroller installiert und konfiguriert haben, haben Sie jetzt

die Möglichkeit, mit den ersten Benutzern, Gruppen und Freigaben von einem Client in der

Domäne die Anmeldung und die Zugriffe zu testen.

Sie können sowohl von einem Windows-Client als auch von einem Linux-Client aus die

Anmeldung und die Zugriffe durchführen.

In diesem Kapitel geht es darum, Windows-Clients und Linux-Clients in die Domäne einzu-

binden.

7.1 Hinzufügen eines Windows-Clients in die Domäne

Da Samba 4 genau wie ein Windows-Server mit AD reagiert, ändert sich beim Hinzufügen

einer Workstation zur Domäne nichts im Vergleich zu einem Windows-Server. Sie müssen

auch nicht dafür sorgen, dass bereits ein Konto für den Client in der Domäne existiert, oder

dass Sie ein Skript zum Anlegen eines Kontos in die Datei smb.conf eingetragen haben.

Prüfen Sie die DNS-Einstellungen am Client

Bevor Sie aber die Maschine in die Domäne aufnehmen, prüfen Sie in den IP-Einstellungen

des Systems, ob der DNS-Server der Domäne zur Namensauflösung eingetragen ist.

Wenn das nicht der Fall ist, kann beim Aufnehmen des Clients in die Domäne der Domaincon-

troller nicht gefunden werden und das Aufnehmen in die Domäne schlägt fehl.

153



7 Verwaltung von Clients in der Domäne

Melden Sie sich als lokaler Administrator an Ihrer Windows 7-Workstation an, klicken Sie

anschließend auf Start, und klicken Sie dann mit der rechten Maustaste auf Computer O

Eigenschaften. An der Stelle finden Sie die Schaltfläche Einstellungen ändern. Durch

einen Klick auf die Schaltfläche öffnet sich ein neues Fenster. In diesem Fenster können Sie

den NetBIOS-Namen und die Zugehörigkeit zur Domäne ändern. Achten Sie darauf, dass bei

Vollständiger Computername: der FQDN des Clients eingetragen ist.

Zum Beitritt zur Samba 4-Domäne klicken Sie auf die Schaltfläche Ändern... In dem neuen

Fenster wählen Sie den Punkt Domäne aus und geben den Domänennamen an. Hier wird der

NetBIOS-Name der Domäne verlangt. Im Buch lautet dieser example. Klicken Sie anschließend

auf die Schaltfläche OK. Es erscheint ein Fenster, in dem Sie den Benutzernamen, in diesem

Fall administrator, und dessen Passwort eingeben müssen.

In Abbildung 7.1 sehen Sie alle Fenster für den Vorgang.

Abbildung 7.1 Client in die Domäne aufnehmen

Nach einem Klick auf die Schaltfläche OK dauert es eine Weile, dann Sie erhalten die Meldung

Willkommen in der Domäne example, so wie Sie es in Abbildung 7.2 sehen.

154



7

7.1 Hinzufügen eines Windows-Clients in die Domäne


Sollte das Hinzufügen zur Domäne nicht funktionieren, weil Windows den Domaincontrol-

ler nicht finden kann, prüfen Sie, ob der richtige DNS-Server in der Netzwerkkonfiguration

des Clients eingestellt ist. Hier muss ein DNS-Server der Domäne eingetragen sein.

Um die Einstellung wirksam werden zu lassen, müssen Sie Windows neu starten. Nach dem

Neustart haben Sie jetzt die Möglichkeit, sich in der Domäne anzumelden. Was passiert noch

auf dem Client?

Beim Hinzufügen eines Clients werden außer an den Domäneninformationen noch an zwei

lokalen Gruppen der Maschine Änderungen vorgenommen. Starten Sie den Manager für

lokale Gruppen und Benutzer lusrmgr auf dem Windows-System, und klicken Sie anschlie-

ßend auf Gruppen und dann auf die Gruppe Administratoren. Dort werden Sie, neben

dem lokalen Administrator noch einen weiteren Eintrag sehen. Dieser Eintrag wird eventu-

ell anfangs nur mit dem SID angezeigt. An dem RID mit dem Wert 512 am Ende des SID sehen

Sie, dass es sich dabei um die Gruppe der Domänenadmins aus der AD-Domäne handelt.

Die zweite Gruppe, die verändert wird, ist die lokale Gruppe Benutzer. Hier wird die Gruppe

der Domänenbenutzer beim Domänenbeitritt hinzugefügt. Auch dort wird eventuell nur der

155




SID angezeigt. Damit ist die Aufnahme einer Windows-Workstation in die Domäne abge-

schlossen.

Über diesen Weg können Sie jetzt alle Arbeitsstationen zur Domäne hinzufügen. Wenn Sie

eine Workstation zur Domäne hinzugefügt haben, können Sie die Workstation hinterher

auch im AD finden. Alle Ihre Workstations werden automatisch im AD angelegt. Wo Sie Ihre

Workstations finden, sehen Sie in Abbildung 7.3:


Über die Eigenschaften der Workstation können Sie diese jetzt auch an einen anderen Stand-

ort im AD verschieben, wenn Sie mit verschiedenen Standorten arbeiten. Wollen Sie Grup-

penrichtlinien für die Clients verwenden, müssen Sie das Objekt für diesen Client in die

entsprechende Organisationseinheit verschieben.

7.2 Hinzufügen eines Linux-Clients zur Domäne

Ein Linux-Client lässt sich nicht so fest in eine AD-Domäne einbinden wie ein Windows-Cli-

ent, aber der Linux-Client kann die Authentifizierung auch über AD durchführen. Dazu müs-

sen Sie lediglich PAM und den Kerberos-Client konfigurieren, damit der Linux-Client die Be-

nutzer und Gruppen aus dem AD lesen und zur Authentifizierung nutzen kann. In diesem

Abschnitt geht es darum, die Authentifizierung des Linux-Clients zu konfigurieren.

Für den Zugriff auf das AD müssen Sie den Dienst winbind installieren und dafür sorgen,

dass PAM die Authentifizierung über winbind durchführen kann. Für die Authentifizierung

über PAM müssen Sie lediglich das entsprechende PAM-Modul installieren. Die Einträge zur

Konfiguration in den entsprechenden PAM-Dateien werden automatisch während der In-

156



7


stallation erzeugt. Damit Sie auch die richtigen, für Samba 4 benötigten Pakete installieren,

müssen Sie als Erstes wieder die Quellen der Firma SerNet in Ihre Datei /etc/apt/sources.list

eintragen. In Listing 7.1 sehen Sie die entsprechenden Einträge:

deb https://user:[email protected]/packages/samba/4.1/debian wheezy main

deb-src https://user:[email protected]/packages/samba/4.1/debian wheezy main

Listing 7.1 Einträge für die Repositories

Anschließend installieren Sie und den Public Key der Firma Sernet so wie in Listing 7.2:

root@linux-client:~# wget http://ftp.sernet.de/pub/sernet-samba-keyring_1.4_all.deb

--2014-02-03 12:02:09-- http://ftp.sernet.de/pub/sernet-samba-keyring_1.4_all.deb

Auflösen des Hostnamen »ftp.sernet.de (ftp.sernet.de)«... 193.175.80.229

Verbindungsaufbau zu ftp.sernet.de (ftp.sernet.de)|193.175.80.229|:80... verbunden.

HTTP-Anforderung gesendet, warte auf Antwort... 200 OK

Länge: 3498 (3,4K) [application/x-debian-package]

In »»sernet-samba-keyring_1.4_all.deb«« speichern.

100%[====================================================>] 3.498 --.-K/s in 0s

2014-02-03 12:02:09 (41,3 MB/s) - »»sernet-samba-keyring_1.4_all.deb««\

gespeichert [3498/3498]

root@linux-client:~# dpkg -i sernet-samba-keyring_1.4_all.deb

Vormals nicht ausgewähltes Paket sernet-samba-keyring wird gewählt.

(Lese Datenbank ... 143307 Dateien und Verzeichnisse sind derzeit installiert.)

Entpacken von sernet-samba-keyring (aus sernet-samba-keyring_1.4_all.deb) ...

sernet-samba-keyring (1.4) wird eingerichtet ...

OK

Listing 7.2 Installation des Public Key

Führen Sie dann das Kommando apt-get update aus. Anschießend können Sie das Paket

sernet-samba-winbind , das Paket sernet-samba und das Paket libpam-heimdal installieren. Das

Paket sernet-samba benötigen Sie, da sich in dem Paket die benötigten Programme befinden,

um zum Beispiel der Domäne beitreten zu können. In Listing 7.3 sehen Sie die Installation

der Pakete und deren Abhängigkeiten:

root@linux-client:~# apt-get install sernet-samba-winbind sernet-samba libpam-heimdal





dbus libavahi-client3 libavahi-common-data libavahi-common3 libcups2 libdbus-1-3\

libdm0 libfam0 libreadline5 libsystemd-login0 sernet-samba-client \

157




sernet-samba-common sernet-samba-libs\

sernet-samba-libsmbclient0 xfsdump xfsprogs


dbus-x11 cups-common fam sernet-samba-ad attr quota


dbus libavahi-client3 libavahi-common-data libavahi-common3 libcups2 libdbus-1-3\

libdm0 libfam0 libpam-heimdal libreadline5 libsystemd-login0 sernet-samba\

sernet-samba-client sernet-samba-common\

sernet-samba-libs sernet-samba-libsmbclient0 sernet-samba-winbind xfsdump xfsprogs


Es müssen noch 9.847 kB von 12,7 MB an Archiven heruntergeladen werden.



Listing 7.3 Installation der Pakete auf dem Client

Während der Installation werden Sie aufgefordert, Informationen für die Kerboros-Konfi-

guration anzugeben. Diese Schritte können Sie einfach überspringen, da damit die Datei

/etc/krb5.conf erstellt wird, die Sie im Anschluss auf jeden Fall durch die Datei aus der Domä-

ne ersetzen müssen. Kopieren Sie im Anschluss an die Installation die Datei /etc/krb5.conf

von einem Ihrer Domaincontroller auf den Client, da diese Datei auf allen Systemen in der

Domäne identisch sein muss.

Im nächsten Schritt muss dann der winbind noch konfiguriert werden. Dazu müssen Sie die

Datei /etc/samba/smb.conf erstellen, so wie Sie es in Listing 7.4 sehen können:

[global]

workgroup = example

realm = EXAMPLE.NET

security = ADS

winbind separator = +

winbind enum users = yes

winbind enum groups = yes

winbind use default domain = yes

winbind refresh tickets = Yes

template shell = /bin/bash

idmap config * : range = 1000000 - 1999999

idmap config EXAMPLE : backend = rid

idmap config EXAMPLE : range = 1000000 - 1999999

Listing 7.4 Konfiguration des winbind

158



7


Die Datei ist zu diesem Zeitpunkt nicht vorhanden; Sie müssen die Datei neu anlegen. Diese

Einstellungen sind auf allen Linux-Clients in Ihrer Domäne identisch.

Die Parameter haben die folgenden Bedeutungen:

E workgroup = example

Hier wird der NetBIOS-Name der Domäne angegeben. Auch als Mitglied im AD heißt der

Parameter workgroup.

E realm = EXAMPLE.NET

Bei dem realm handelt es sich um die Information für die Kerberos-Domäne. Für diesen

Realm wird sich der Samba-Server einen KDC suchen.

E security = ADS

Damit legen Sie fest, dass Ihr Server ein Mitglied in einer AD-Domäne ist.

E winbind separator = +

Normalerweise werden die Benutzer vom winbind in der Form DOMÄNE/Benutzer dar-

gestellt. Da der Schrägstrich aber im Dateisystem verwendet wird, ist es sinnvoll, das

Zeichen durch ein anderes Zeichen, hier das Pluszeichen, zu ersetzen.

E winbind enum users = yes

Ohne diesen Parameter würden die Benutzer auf dem lokalen Linux-System nicht ange-

zeigt und wären nicht nutzbar, um Rechte im Dateisystem vergeben zu können.

E winbind enum groups = yes

Auch hier sorgt der Parameter dafür, dass Ihre Gruppen im Linux-System sichtbar sind

und für Berechtigungen verwendet werden können.

E winbind use default domain = yes

Haben Sie nur eine Domäne, können Sie mit diesem Parameter dafür sorgen, dass nur

die Benutzername von winbind übergeben werden, ohne die Domäne vor den Namen zu

stellen. Wenn Sie diesen Parameter nutzen, können Sie den Parameter winbind separator

= + aus der Konfigurationsdatei entfernen.

E winbind refresh tickets = yes

Mit diesem Parameter werden Kerberos-Tickets automatisch erneuert, wenn der Benut-

zer angemeldet ist und das Ticket abläuft.

E template shell = /bin/bash

Diesen Parameter dürfen Sie auf gar keinen Fall vergessen. Ohne ihn kann sich ein Benut-

zer aus dem AD zwar anmelden, aber er wird sofort wieder abgemeldet, da der Benutzer

im AD keine Shell zugewiesen bekommt, diese aber für eine erfolgreiche Anmeldung

benötigt wird.

E idmap config * : range = 1000000 - 1999999

Neben den Gruppen und Benutzern, die Sie als Administrator anlegen, gibt es noch die

Build-in-Groups. Diese Gruppen haben einen eigenen verkürzten SID. Für diese Gruppen

159




müssen Sie auch das ID-Mapping konfigurieren. Die Konfiguration der Build-in-Groups

wird über den Stern in idmap config * : range = 1000000 - 1999999 konfiguriert. Eigent-

lich müssten Sie auch noch den Parameter idmap config * : backend = tdb konfigurie-

ren, aber dieser Parameter wird von Samba4 automatisch gesetzt. Testen können Sie das

mit dem Kommando testparm.

E idmap config EXAMPLE : backend = rid

Die IDs der Benutzer müssen aus den SIDs der AD-Benutzer generiert werden. Dazu gibt

es verschiedene Möglichkeiten. Die Standardeinstellungen für den winbind ist die Ver-

wendung von tdb-Dateien. Dabei werden zufällige UIDs generiert und den Benutzern zu-

gewiesen und in der tdb-Datei gespeichert. Der Nachtteil dieses Verfahrens ist der, dass

so jeder Benutzer auf jedem Linux-System eine andere UID bekommt. Durch den Wech-

sel auf das Backend idmap_rid wird immer der RID des Benutzers aus der AD-Domäne

gewählt. Da dieser eindeutig ist, ist die ID der Benutzer und Gruppen auf dem Linux-Sys-

tem auch eindeutig. Der Benutzer hat dadurch auf allen Linux-System in der gesamten

Domäne immer dieselbe UID. Ein Problem bekommen Sie so aber nicht in den Griff, und

zwar werden auf den DCs Ihrer Domäne die UIDs immer im AD verwaltet und somit im-

mer anders als auf den anderen Systemen in der Domäne. Die einfachste Möglichkeit,

dieses Problem zu umgehen, ist die, die Domaincontroller nicht als File-Server zu ver-

wenden und alle Dateien immer auf anderen Samba-Servern in der Domäne abzulegen.

E idmap config EXAMPLE : = 1000000 - 1999999

Hier legen Sie den Bereich fest, in dem sich die UIDs der Benutzer befinden sollen.

Jetzt können Sie mit dem Linux-Client der Domäne beitreten. In Listing 7.5 sehen Sie, wie Sie

über die Kommandozeile den Linux-Client in die AD-Domäne bringen:

root@linux-client:~# net rpc join EXAMPLE -U administrator

Enter administrator’s password:

Joined domain EXAMPLE.

Listing 7.5 Beitritt eines Linux-Clients

Wenn Sie im Anschluss oder später den Beitritt zur Domäne prüfen wollen, können Sie das

wie in Listing 7.6 durchführen:

root@linux-client:~# net rpc testjoin

Join to 'EXAMPLE' is OK

Listing 7.6 Testen des Beitritts

Wenn Sie jetzt den winbind starten wollen, erhalten Sie die Meldung wie in Listing 7.7:

root@linux-client:~# service sernet-samba-winbindd start

/etc/init.d/sernet-samba-winbindd wants to start but SAMBA_START_MODE\

is set to "none".

Disable /etc/init.d/sernet-samba-winbindd or set SAMBA_START_MODE in\

160



7


/etc/default/sernet-samba to "classic".

[warn] Exiting gracefully now. ... (warning).

Listing 7.7 Fehler beim Start des winbind

Sie müssen erst noch die Datei /etc/default/sernet-samba so wie in Listing 7.8 anpassen:

# SAMBA_START_MODE defines how Samba should be started.\

Valid options are one of

# "none" to not enable it at all,

# "classic" to use the classic smbd/nmbd/winbind daemons

# "ad" to use the Active Directory server \

(which starts the smbd on its own)

# (Be aware that you also need to enable the services/init scripts that

# automatically start up the desired daemons.)

SAMBA_START_MODE="classic"

Listing 7.8 Anpassung der Datei »/etc/default/sernet-samba«

Da hier ja nur ein Client oder ein File-Server konfiguriert werden soll, müssen Sie den Wert

classic einsetzen. Jetzt können Sie den winbind starten und bekommen dann die Meldun-

gen wie in Listing 7.9:

root@linux-client:~# service sernet-samba-winbindd start

[ ok ing SAMBA winbindd : .

Listing 7.9 Erneuter Start des winbind

Mit dem Kommando wbinfo -u sehen Sie jetzt alle Benutzer aus der AD-Domäne. Mit dem

Kommando wbinfo -g sehen Sie alle Gruppen der AD-Domäne. In Listing 7.10 sehen Sie ein

Beispiel dafür:

root@linux-client:~# wbinfo -u

ktom

administrator

skania

krbtgt

guest

root@linux-client:~# wbinfo -g

allowed rodc password replication group

enterprise read-only domain controllers

denied rodc password replication group

read-only domain controllers

group policy creator owners

ras and ias servers

domain controllers

161




buchhaltung

enterprise admins

domain computers

cert publishers

dnsupdateproxy

domain admins

domain guests

schema admins

domain users

dnsadmins

alleuser

Listing 7.10 Auflistung aller Benutzer und Gruppen mit »wbinfo«

Jetzt müssen Sie die Benutzer und Gruppen noch im Linux-System bekannt machen. Um die

Benutzer aus verschiedenen Authentifizierungsquellen auslesen zu können, verwendet Li-

nux den Name Service Switch (NSS). Dieser wird über die Datei /etc/nsswitch.conf konfiguriert.

Damit Ihr System die von winbind übergebenen Benutzer auch im Linux-System verwenden

kann, müssen Sie die Datei /etc/nsswitch.conf so wie in Listing 7.11 anpassen:

passwd compat winbind

group compat winbind

shadow compat winbind

Listing 7.11 Die Datei »/etc/nsswitch.conf«

Wenn Sie jetzt die Kommandos getent passwd und getent group verwenden, werden Ihnen

die Benutzer und Gruppen aus der AD-Domäne als Linux-Benutzer angezeigt. In Listing 7.12

sehen Sie das Ergebnis des Kommandos getent passwd:

root@linux-client:~# getent passwd

root:x:0:0:root:/root:/bin/bash

daemon:x:1:1:daemon:/usr/sbin:/bin/sh

bin:x:2:2:bin:/bin:/bin/sh

.

.

.

statd:x:102:65534::/var/lib/nfs:/bin/false

sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin

stka:x:1000:1000:stka,,,:/home/stka:/bin/bash

messagebus:x:104:107::/var/run/dbus:/bin/false

ktom:*:1001106:1000513:Kater Tom:/home/EXAMPLE/ktom:/bin/bash

administrator:*:1000500:1000513:Administrator:/home/EXAMPLE/administrator\

:/bin/bash

skania:*:1001105:1000513:Stefan Kania:/home/EXAMPLE/skania:/bin/bash

162



7


krbtgt:*:1000502:1000513:krbtgt:/home/EXAMPLE/krbtgt:/bin/bash

guest:*:1000501:1000514:Guest:/home/EXAMPLE/guest:/bin/bash

Listing 7.12 Ergebnis von »getent passwd«

Wenn Sie die UIDs der Benutzer jetzt mit den RIDs der AD-Benutzer vergleichen, sehen Sie,

dass beide identisch sind. Mit dem Kommando tdbdump können Sie sich das Mapping auch

anzeigen lassen. In Listing 7.13 sehen Sie einen Ausschnitt aus dem Kommando:

root@samba4-1:~# tdbdump /var/lib/samba/winbindd.tdb

{

key(47) = "U/S-1-5-21-2272618568-2628634020-1511971479-501"

data(146) = "\00\00\00\00M\0F\00\00i\E0\F7Q\00\00\00\00\05Guest\05Guest\0B\

/home/%D/%U\09/bin/bash\FF\FF\FF\FF-S-1-5-21-2272618568-2628634020

-1511971479-501-S-1-5-21-2272618568-2628634020-1511971479-514"

}

{

key(47) = "U/S-1-5-21-2272618568-2628634020-1511971479-502"

data(148) = "\00\00\00\00M\0F\00\00i\E0\F7Q\00\00\00\00\06krbtgt\06krbtgt\0B\

/home/%D/%U\09/bin/bash\FF\FF\FF\FF-S-1-5-21-2272618568-2628634020

-1511971479-502-S-1-5-21-2272618568-2628634020-1511971479-513"

}

{

key(17) = "GL/BUILTIN/domain"

data(20) = "\00\00\00\00<\DF\F7Q\B6\E0\F7Q\00\00\00\00\00\00\00\00"

}

{

key(17) = "NS/EXAMPLE/SKANIA"

data(67) = "\00\00\00\00M\0F\00\00i\E0\F7Q\00\00\00\00\01\00\00\00.\

S-1-5-21-2272618568-2628634020-1511971479-1105"

}

Listing 7.13 Ausschnitt aus »tdbdump«

Hier sehen Sie, dass der Benutzer skania den RID 1105 hat und als UID die 1001105. Der Wert

setzt sich aus dem Eintrag in der Datei smb.conf, idmap config EXAMPLE : range = 1000000 -

1999999, und dem RID des Benutzers zusammen.

Falsches ID-Mapping

Sollten die UIDs jetzt nicht mit den RIDs der Benutzer übereinstimmen oder sollten Sie an der

Stelle der IDs bei getent den Wert 4294967295 sehen, liegt es wahrscheinlich an der smb.conf.

Überprüfen Sie die Parameter erneut. Da der winbind aber alle Informationen in einem Cache

ablegt, müssen Sie diesen erst mit dem Kommando net cache flush löschen.

163




7.2.1 Konfiguration der Authentifizierung

Damit sich jetzt auch die Benutzer am System anmelden können, müssen Sie noch das PAM-

System und den Kerberos-Client konfigurieren.

Installieren Sie als Erstes das Paket heimdal-clients mit allen Abhängigkeiten. Für die Konfi-

guration des Kerberos-Clients können Sie sich die Datei krb5.conf einfach von einem ande-

ren Client oder einem DC kopieren, da diese Datei auf allen Systemen in der Domäne immer

identisch sein muss.

Denken Sie daran, dass Sie für die Verwendung von Kerberos eine einheitliche Zeit benötigen

und dass die Namensauflösung mittels DNS funktionieren muss. Tragen Sie deshalb den

neuen Client auf jeden Fall in den DNS ein.

Nach der Installation und der Konfiguration können Sie den Kerberos-Client testen, indem

Sie für einen Benutzer ein Ticket anfordern, so wie Sie es in Listing 7.14 sehen können:

root@linux-client:~# kinit administrator

[email protected]'s Password:

root@linux-client:~# klist

Credentials cache: FILE:/tmp/krb5cc_0

Principal: [email protected]

Issued Expires Principal

Jan 3 15:18:18 2014 Jan 4 01:18:14 2014 krbtgt/[email protected]

root@linux-client:~#

Listing 7.14 Beziehen eines Kerberos-Tickets

Damit ist die Konfiguration des Kerberos-Clients abgeschlossen. Das PAM-Paket muss nicht

weiter konfiguriert werden, da alle benötigten Änderungen bereits bei der Installation des

Paketes libpam-heimdal durchgeführt wurden.

Jetzt ist der Linux-Client so konfiguriert, dass die Benutzer aus der AD-Domäne sich auch an

den Linux-Clients anmelden können. Da die Freigaben noch nicht eingebunden sind, wird

der Benutzer zu diesem Zeitpunkt noch ohne Heimatverzeichnisse angemeldet.

Wenn Sie an dieser Stelle die Anmeldung eines Benutzers – entweder direkt oder über ssh –

testen, werden Sie mit dem Kommando klist feststellen, dass der Benutzer auch sofort ein

TGT vom Kerberos erhalten hat. Das ist wichtig, da Sie nur so später ein Single Sign-on auf

andere Dienste realisieren können.

164



7

7.3 Zugriff von Linux-Clients auf Samba-Freigaben


In einer heterogenen Client-Umgebung sollen auch die Linux-Clients die Freigaben des Sam-

ba-Servers nutzen können. Jetzt soll es darum gehen, dass die Freigaben ebenfalls genutzt

werden können, sodass die Benutzer auch unter Linux ihr Heimatverzeichnis und die Daten

nutzen können.

Für die Datenfreigabe auf den Linux-Clients haben Sie jetzt zwei Möglichkeiten: Sie können

cifs verwenden und damit das SMB-Protokoll des Samba-Servers oder aber zusätzlich einen

NFS-Server einrichten. Hier im Buch soll nur der Samba-Server für die Datenfreigabe genutzt

werden.

Bei der Verwendung von cifs gibt es dann wiederum zwei Möglichkeiten, wie Sie Ihren Benut-

zern Freigaben zur Verfügung stellen können. Die eine Möglichkeit besteht darin, dass Sie

die entsprechende Freigabe in die Datei /etc/fstab eintragen, die andere Möglichkeit ist die

Verwendung von pam_mount. Beide Varianten sollen hier im Buch anhand von Beispielen

erklärt werden.

7.3.1 Die Verwendung der Datei »/etc/fstab«

Um cifs verwenden zu können, müssen Sie als erstes das Paket cifs-utils auf den Linux-Cli-

ents installieren, um überhaupt mit dem Kommando mount cifs-Freigaben mounten zu kön-

nen. Bei der Verwendung von cifs wird beim Mounten des Dateisystems immer ein Benutzer-

name und ein Passwort benötigt. Wenn immer nur eine Person einen Client nutzt, können

Sie diese Information über eine Datei bei Systemstart übergeben. Dabei gibt es ein Problem:

Wenn der Benutzer sein Passwort ändert, muss die Datei auch geändert werden. Ein wei-

teres Problem tritt auf, wenn ein Benutzer die Freigabe mountet, sich abmeldet und sich

dann ein anderer Benutzer anmeldet. Denn gemountete cifs-Freigaben gehören immer dem

Benutzer, der sie gemountet hat. Aber cifs unterstützt auch die Mount-Option users, mit

der jeder Benutzer ein gemountetes Dateisystem dismounten kann, egal welcher Benutzer

das Dateisystem vorher gemountet hat. Trotz aller dieser Nachteile hat cifs auch Vorteile

gegenüber NFS. Die Datenübertragung findet verschlüsselt statt. cifs ist stabiler und hat, ab

der SMB-Version 2.0 eine höhere Datendurchsatzrate. Die Einschränkungen – zum Beispiel

über den Parameter hide unreadable = yes – sind auch für die Linux-Benutzer wirksam. Ein

weiter Vorteil ist, dass Sie nur einen Dienst für die Freigaben pflegen müssen.

Zum Glück unterstützt cifs auch Kerberos für die Authentifizierung, und mit Samba 4 wird

auch die Kerberos-Authentifizierung angewendet. Dadurch können Sie das Problem mit der

Anmeldung des Benutzers umgehen. Jeder Benutzer, der sich am Linux-System anmeldet,

erhält automatisch ein Ticket Granting Ticket (TGT). Mit diesem TGT kann dann die Authen-

tifizierung gegenüber dem Samba-Fileserver durchgeführt werden. Installieren Sie auf al-

len Linux-Clients das Paket libpam-heimdal. Änderungen an den PAM-Konfigurationsdateien

165




müssen Sie nicht vornehmen. Testen Sie anschließend die Anmeldung, und prüfen Sie mit

klist, ob der Benutzer auch sein TGT erhalten hat. Erst wenn Ihre Anmeldung so funktioniert

wie die ssh-Anmeldung in Listing 7.15, sollten Sie weitermachen:

stefan@stefan:~% ssh [email protected]

[email protected]'s password:

Linux linux-client 3.2.0-4-amd64 #1 SMP Debian 3.2.41-2+deb7u2 x86_64

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent

permitted by applicable law.

Last login: Fri Jan 3 15:32:49 2014

Could not chdir to home directory /home/EXAMPLE/skania: No such file or directory

skania@linux-client:/$ klist

Credentials cache: FILE:/tmp/krb5cc_1001104_rU737r



Jan 3 15:45:17 2014 Jan 4 01:45:14 2014 krbtgt/[email protected]

Listing 7.15 Anmeldung am Client

Wie Sie hier sehen, fehlt dem Benutzer noch das Heimatverzeichnis, und auch die Da-

tenverzeichnisse sind noch nicht gemountet. Damit Benutzer die Freigaben mounten

können, müssen Sie bei dem Programm /sbin/mount.cifs das SUID-Bit mit chmod u+s

/sbin/mount.cifs setzen, da sonst ein Mounten der Dateisysteme durch Benutzer nicht

möglich ist.

In den unterschiedlichen Distributionen ist das SUID-Bit schon gesetzt. Prüfen Sie, ob das

bei Ihnen schon der Fall ist.

Haben Sie die Voraussetzungen bis zu diesem Punkt geschaffen, dann können Sie nun das

Mounten testen. In Listing 7.16 sehen Sie diverse Versuche, das Dateisystem zu mounten:

root@linux-client:~# mkdir /daten

root@linux-client:~# mount -t cifs -o sec=krb5 //fileserver/abteilungen /abteilungen

mount error(126): Required key not available

Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)

root@linux-client:~# su - skania

skania@linux-client:/$ klist

166



7


Credentials cache: FILE:/tmp/krb5cc_1001105



Aug 2 14:13:18 2013 Aug 3 00:12:29 2013 krbtgt/[email protected]

skania@linux-client:/$ mount -t cifs -o sec=krb5 //fileserver/abteilungen\

/abteilungen

mount: only root can do that

Listing 7.16 Verschiedene Mount-Versuche

Was ist hier passiert? Im ersten Anlauf versucht der root das Dateisystem zu mounten. Die-

ser Versuch scheitert daran, dass der root ein lokaler Benutzer ist und somit kein TGT besitzt.

Dann wird mit su - skania die Identität auf einen Benutzer aus dem Active Directory geän-

dert und derselbe Befehl abgesetzt. Dieses Mal scheitert der Mount-Versuch daran, dass nur

der root mounten kann. Deshalb müssen Sie jetzt erst für normale Benutzer das Mounten

ermöglichen. Dieses realisieren Sie, indem Sie den folgenden Eintrag in die Datei /etc/fstab

wie in Listing 7.17 erstellen:

//fileserver/abteilungen /abteilungen cifs users,sec=krb5 0 0

Listing 7.17 Eintrag in der Datei »/etc/fstab«

Durch die Option users ermöglichen Sie das Mounten dieses Dateisystems durch normale

Benutzer. Weiterhin erlaubt die Option users gegenüber der Option user, dass jeder Benutzer

jedes von einem anderen Benutzer gemountete Dateisystem wieder dismounten kann. Jetzt

kann der Benutzer das Dateisystem über den vereinfachten Mount-Befehl mounten, so wie

Sie es in Listing 7.18 sehen können:

skania@linux-client:/$ mount /abteilungen/

skania@linux-client:/$ mount

.

.

.

//fileserver/abteilungen on /abteilungen type cifs (rw,nosuid,nodev,relatime,\

sec=krb5,unc=\\fileserver\abteilungen,username=skania,\

uid=1001105,forceuid,gid=1000513,forcegid,addr=192.168.123.172,\

unix,posixpaths,serverino,acl,rsize=1048576,wsize=65536,actimeo=1)

Listing 7.18 Mounten durch einen Benutzer

Hier sehen Sie, dass die Freigabe durch den Benutzer skania gemountet wurde. Alle Datei-

en und Verzeichnisse werden automatisch dem Benutzer zugewiesen. Aber die eigentlichen

167




Rechte bleiben erhalten, da diese auf dem Dateisystem des Servers verwaltet werden. Der Be-

nutzer kann somit keine Dateien verändern, an denn er keine Rechte hat. Auch bleiben die

Einschränkungen der Freigabe erhalten. Bei der Einrichtung der Freigabe und der Berechtig-

ten wurden ja in dem Verzeichnis /abteilungen Unterverzeichnisse angelegt und bestimm-

ten Gruppen zugeordnet. Der Benutzer skania ist nur Mitglied der Gruppe vertrieb. Deshalb

wird der Benutzer auch in dem Verzeichnis /abteilungen nur das Unterverzeichnis vertrieb

sehen, so wie in Listing 7.19:

skania@linux-client:/$ id

uid=1001105(skania) gid=1000513(domain users) Gruppen=1000513(domain users),\

1001111(vertrieb)

skania@linux-client:/$ ls -l /abteilungen/

insgesamt 0

drwxrwx--- 2 skania domain users 0 Aug 2 13:58 vertrieb

Listing 7.19 Erster Zugriff auf die gemoutete Freigabe

So können Sie jetzt alle Dateisysteme eines Samba-Servers via cifs bereitstellen und mounten.

Nur bleibt das Problem: Was passiert, wenn der eine Benutzer sich abmeldet und ein anderer

Benutzer sich anmeldet? In Listing 7.20 sehen Sie das Problem:

root@linux-client:~# su - ktom

skania@linux-client:/$ ls -l /abteilungen/

insgesamt 0

drwxrwx--- 2 skania domain users 0 Aug 2 13:58 vertrieb

Listing 7.20 Anmeldung eines anderen Benutzers

Der Benutzer ktom ist nicht der Besitzer des Verzeichnisses, da das gemountete Dateisystem

dem Benutzer skania gehört. Deshalb müssen Sie dafür sorgen, dass die Dateisysteme beim

Abmelden der Benutzer dismountet und bei jeder Anmeldung neu gemountet werden.

Das Mounten der Dateisysteme können Sie über die Datei /etc/profile realisieren, da diese bei

jeder Anmeldung immer abgearbeitet wird. Das Dismounten der Dateisysteme können Sie

über die Datei .bash_logout regeln. Beim Dismounten über die Datei .bash_logout müssten

Sie dann für jeden Benutzer ein Skript bereitstellen. Einfacher ist es, bei der Anmeldung

bereits gemountete Dateisysteme erst zu dismounten, was ja dank der Mount-Option users

möglich ist. Anschließend können dann die Dateisysteme neu gemountet werden. Ein sehr

einfaches Beispiel dafür sehen Sie in Listing 7.21:

if [ "$USER" != "root" ]

then

umount /abteilungen 2>/dev/null

sleep 1

168



7


mount /abteilungen

fi

Listing 7.21 Mount-Skript für die Freigaben

Diese if-Bedingung stellen Sie ans Ende der Datei /etc/profile. Für den Benutzer root wird

der Teil des Skripts nicht ausgeführt, da der root kein TGT besitzt und somit ein Mounten

für ihn nicht möglich ist. Nach dem Dismounten kommt eine Pause von einer Sekunde. Je

nachdem, wie schnell Ihr System ist, können Sie diese Pause auch weglassen. Jetzt werden

alle Netzwerkdateisysteme ausschließlich über cifs gemountet und Sie benötigen kein NFS

zusätzlich.

Leider gibt es ein Problem mit dem Mounten der Heimatverzeichnisse der Benutzer über

diesen Weg. Wenn Sie versuchen, das Heimatverzeichnis der Benutzer so zu mounten, gibt es

Probleme mit den Zugriffsrechten und der Anmeldung an grafischen Oberflächen. Deshalb

ist dieser Weg nur sinnvoll, wenn Sie ausschließlich Datenverzeichnisse mounten wollen und

die Heimatverzeichnisse entweder immer lokal liegen oder über NFS bereitgestellt werden

sollen. Wollen Sie alles über cifs mounten, müssen Sie auf das Mounten mit pam_mount

umschwenken.

7.3.2 Mounten über »pam_mount«

Im vorigen Abschnitt konnten Sie sehen, wie Sie einzelne Freigaben durch Einträge in die

Datei /etc/fstab realisieren können. Diese Art der Verwaltung von Freigaben eignet sich aber

nur für Freigaben für Daten oder für Freigaben, die der Benutzer nachträglich von Hand

mounten können soll. Wollen Sie die Heimatverzeichnisse der Benutzer mounten und Da-

tenverzeichnisse bei der Anmeldung eines Benutzers passend mounten, ist der Weg über

die fstab keine gute Lösung. Hier empfiehlt es sich, auf das automatische Mounten über

pam_mount zurückzugreifen.

Damit Sie pam_mount verwenden können, müssen Sie als Erstes das Paket libpam-

mount installieren. Bei der Installation des Paketes werden die beiden Dateien /etc/pam.d/

common-auth und /etc/pam.d/common-session um das PAM-Modul pam_mount.so erweitert.

Dadurch kann beim Zugriff auf die Freigaben sofort die Authentifizierung des zugreifenden

Benutzers durchgeführt werden. Die Authentifizierung können Sie dabei über Kerberos

realisieren.

Über die Datei /etc/security/pam_mount.conf.xml gpIndexpam_mount.conf.xmlrealisieren

Sie die Konfiguration von pam_mount. In Listing 7.22 sehen Sie zwei Einträge: einmal einen

Eintrag für ein Datenverzeichnis und einen weiteren Eintrag für die Heimatverzeichnisse

der Benutzer. Denn über pam_mount lassen sich jetzt auch die Heimatverzeichnisse der

Benutzer ohne Probleme automatisch bei der Anmeldung mounten.

169




<volume

fstype="cifs"

server="samba4-1.example.net"

path="users\%(DOMAIN_USER)"

mountpoint="/home/EXAMPLE/%(DOMAIN_USER)"

options="sec=krb5,workgroup=EXAMPLE" />

<volume

user="%(DOMAIN_USER)"

fstype="cifs"

server="samba4-1.example.net"

path="alle"

mountpoint="/alle"

option="sec=krb5,workgroup=EXAMPLE" />

Listing 7.22 Einträge in der Datei »/etc/security/pam_mount.conf.xml«

Die Parameter haben dabei die folgenden Bedeutungen:

E user="%(DOMAIN_USER)"

Durch den Parameter user beschränken Sie die Verfügbarkeit der Freigabe auf bestimmte

Benutzer – in diesem Fall auf alle Benutzer der Domäne.

E fstype="cifs"

Hier wird der Dateisystemtyp festgelegt – in diesem Fall cifs.

E server="samba4-1.example.net"

Bei diesem Parameter geben Sie den Server an, auf dem Sie die Freigabe eingerichtet

haben.

E path="users\%(DOMAIN_USER)"

Hierbei handelt es sich um die Freigabe und den Pfad innerhalb der Freigabe, der ge-

mountet werden soll. Im ersten Beispiel wird immer das Heimatverzeichnis des ent-

sprechenden Benutzers gemountet. Im zweiten Beispiel wird nur der Name der Freigabe

angegeben, da hier die gesamte Freigabe gemountet werden soll.

E mountpoint="/home/EXAMPLE/%(DOMAIN_USER)"

Hier geben Sie den Mountpoint auf dem lokalen System an, in den die Freigabe gemoun-

tet werden soll.

E option="sec=krb5,workgroup=EXAMPLE"

Bei dem Parameter option können Sie verschiedene Mount-Parameter angeben. Über die

Option sec=krb5 legen Sie die Sicherheitsstufe bei der Authentifizierung fest. Der Stan-

dardwert wäre hier ntlmv1. Da Samba 4 Kerberos bereitstellt, soll hier auch Kerberos für

die Authentifizierung verwendet werden. Deshalb wird hier der Parameter sec=krb5 ge-

170



7

7.4 »sssd« versus »winbind«

setzt. Über die Option workgroup=EXAMPLE setzen Sie die Domäne, in der sich der Benutzer

befindet.

Wenn sich jetzt ein Benutzer am Client anmeldet, werden die Freigaben automatisch ge-

mountet und dem Benutzer zugeordnet. Im nachfolgenden Listing sehen Sie die gemounte-

ten Freigeben:

//samba4-1.example.net\users/skania on /home/EXAMPLE/skania type cifs\

(rw,relatime,sec=krb5,unc=\\samba4-1.example.net\users,username=skania,\

domain=EXAMPLE,uid=1001105,forceuid,gid=1000513,forcegid,addr=192.168.56.100,\

posixpaths,serverino,acl,\rsize=1048576,wsize=65536,actimeo=1)

//samba4-1.example.net/alle on /daten/alle type cifs (rw,relatime,sec=krb5,\

unc=\\samba4-1.example.net\alle,username=skania,domain=EXAMPLE,uid=1001105,\

forceuid,gid=1000513,forcegid,addr=192.168.56.100,posixpaths,serverino,acl,\

rsize=1048576,wsize=65536,actimeo=1)

Listing 7.23 Die gemounteten Freigaben über »pam_mount«

Jetzt steht einer gemeinsamen Nutzung eines Clients durch mehrere Benutzer nichts mehr

entgegen. Für jeden Benutzer werden die Freigaben automatisch gemountet, und alle Ein-

stellungen, die Sie über die Freigabe vergeben haben, werden übernommen.


Solange Sie nur mit Desktop-PCs arbeiten, die immer Verbindung zur Domäne haben, kom-

men Sie mit der Zuordnung der Benutzer über winbind sehr gut zurecht.

Sobald Sie aber zum Beispiel Notebooks mit Linux als Betriebssystem einsetzen und die

Benutzer diese auch außerhalb Ihres Netzwerks, also ohne Kontakt zum Domaincontroller,

nutzen wollen, wird es dann schon schwieriger mit der Authentifizierung. Denn winbind

kann keine Benutzerinformationen zwischenspeichern.

Da kommt dann der System Security Services Daemon (sssd) ins Spiel. sssd ist ein Dienst, der

den Zugriff auf verschiedene Identifikations- und Authentifizierungsdienste regeln kann.

Sie können sssd sowohl gegen einen LDAP-Server als auch gegen Kerberos oder das Active

Directory authentifizieren lassen. Der sssd stellt hierfür eine Schnittstelle für NSS und PAM

zur Verfügung.

Der sssd ist in der Lage, Anmeldeinformationen zwischenzuspeichern, und somit ist eine

Anmeldung auch ohne Kontakt zur Authentifizierungsquelle möglich. sssd hat gegenüber

winbind auch noch die folgenden Vorteile:

171




E Die Konfiguration von sssd ist relativ einfach.

E Das ID-Mapping ist sehr schnell und gerade in größeren Umgebungen wichtig.

E Alle Posix-Informationen können zentral im AD verwaltet werden, solange Sie das

rfc2307-Schema anstelle des nis-Schemas verwenden.

E Da Sie sssd so konfigurieren können, dass der Dienst mehrere Domaincontroller in Ihrem

Netz ansprechen kann, erhöhen Sie hierdurch die Ausfallsicherheit.

E Die Authentifizierung von Benutzern kann auch ohne den Beitritt der Maschine zur Do-

mäne stattfinden.

E Alle aktuellen Versionen (ab 1.10.0) unterstützen direkt das ID-Mapping über das Active

Directory. Leider wird bei Debian-Wheezy erst die Version 1.8.4 über das Repository be-

reitgestellt, sodass Sie bei der Verwendung des Paketes das ID-Mapping über LDAP und

das rfc2307-Schema durchführen müssen. Bei den aktuellen Versionen von Ubuntu ist

aber eine Version >= 1.10.0 enthalten.

E Durch die Verwendung von Kerberos ist jegliche Kommunikation verschlüsselt.

Die Authentifizierung mittels sssd über einen Active Directory funktioniert erst ab der sssd-

Version 1.10.0. Bei älteren Versionen können Sie nur gegen den LDAP authentifizieren. Hier

im Buch verwende ich deshalb Kubuntu 13.10 Desktop, da erst ab dieser Version ein sssd in

der passenden Version vorhanden ist. Sie können auch mit älteren Versionen arbeiten, dann

müssen Sie aber sicherstellen, dass der Samba 4-Server das rfc2307bis-Schema unterstützt.

Die Unterstützung für dieses Schema lässt sich beim Einrichten des Samba4 über die Option

-use-rfc2307 während des Provisioning erreichen. Eine nachträgliche Umstellung ist nicht

möglich.

Installieren Sie die Distribution, und installieren Sie keine Samba-Pakte. Denn die Authenti-

fizierung soll zwar gegen das AD stattfinden, aber dazu soll kein winbind verwendet werden.

Sollten die Samba-Pakete installiert sein, kommt es zu Konflikten bei der Installation der

sssd-Pakete.

Denken Sie daran, den neuen Client auch im DNS einzutragen. Erst wenn der neue Client

über DNS auflösbar ist, können Sie mit der Konfiguration von sssd beginnen.

7.4.1 Installation und Konfiguration von »sssd«

Um sssd nutzen zu können, müssen Sie auf dem Linux-Client das Paket so wie in Listing 7.24

installieren:

root@kde-client:~# apt-get install sssd-ad





172



7


ldap-utils libbasicobjects0 libc-ares2 libcollection2 libdhash1 libini-config3\

libipa-hbac0 libldb1 libndr-standard0 libndr0 libnss-sss libpam-pwquality\

libpam-sss libpath-utils1 libref-array1 libsamba-util0

libsasl2-modules-gssapi-mit libsasl2-modules-ldap libsss-idmap0 libsss-sudo\

python-sss sssd sssd-ad-common sssd-common sssd-ipa sssd-krb5 sssd-krb5-common\

sssd-ldap sssd-proxy


sssd-tools


ldap-utils libbasicobjects0 libc-ares2 libcollection2 libdhash1 libini-config3\

libipa-hbac0 libldb1 libndr-standard0 libndr0 libnss-sss libpam-pwquality\

libpam-sss libpath-utils1 libref-array1 libsamba-util0 libsasl2-modules-gssapi-mit\

libsasl2-modules-ldap libsss-idmap0 libsss-sudo python-sss sssd sssd-ad\

sssd-ad-common sssd-common sssd-ipa sssd-krb5 sssd-krb5-common sssd-ldap\


Es müssen 4.640 kB an Archiven heruntergeladen werden.



Listing 7.24 Installation der benötigten Pakete

Nach der Installation der Pakete müssen Sie als Nächstes den Kerberos-Schlüssel des Li-

nux-Clients aus dem Samba 4-AD exportieren und auf dem Client als Datei bereitstellen.

Der Schlüssel dient dann zur Identifikation des Clients. Den Schlüssel exportieren Sie mit

dem Kommando samba-tool domain exportkeytab /root/kde-client.sssd.kytab -princi-

pal=kde-client$. Kopieren Sie die so erzeugte Datei in das Verzeichnis /etc auf dem Client,

und sorgen Sie dafür, dass nur der root Lese- und Schreibrecht hat.

Vergessen Sie das Dollarzeichen hinter dem Hostnamen nicht. Ohne das Dollarzeichen wird

der Host nicht gefunden.

Installieren Sie noch das Paket heimdal-clients, und kopieren Sie anschließend die Datei

/etc/krb5.conf von einem Domaincontroller auf den neuen Client. Jetzt können Sie auf dem

Client den Inhalt der keytab-Datei prüfen. In Listing 7.25 sehen Sie, wie Sie den Inhalt der

keytab-Datei prüfen können:

root@kde-client:/etc# ktutil -k linux-client.sssd.keytab list

linux-client.sssd.keytab:

Vno Type Principal Aliases

2 des-cbc-crc [email protected]

2 des-cbc-md5 [email protected]

2 arcfour-hmac-md5 [email protected]

Listing 7.25 Überprüfung der »keytab«-Datei

173




Jetzt müssen Sie die Konfigurationsdatei /etc/sssd/sssd.conf so wie in Listing 7.26 erstellen:

[sssd]

services = nss, pam

config_file_version = 2

domains = example

debug_level = 9

[nss]

filter_users = root

filter_groups = root

[pam]

[domain/example]

ad_hostname = kde-client.example.net

ad_server = samba4-1.example.net

ad_domain = example

default_shell = /bin/bash

override_homedir = /home/%u

ldap_schema = ad

id_provider = ad

access_provider = ad

# on large directories, you may want to disable enumeration for performance reasons

enumerate = true

cache_credentials = true

auth_provider = krb5

chpass_provider = krb5

ldap_sasl_mech = GSSAPI

ldap_sasl_authid = [email protected]

krb5_realm = EXAMPLE.NET

krb5_server = samba4-1.example.net

krb5_kpasswd = samba4-1.example.net

krb5_keytab = /etc/krb5.keytab

ldap_krb5_init_creds = true

ldap_referrals = false

ldap_uri = ldap://samba4-1.example.net

ldap_search_base = dc=example,dc=net

dyndns_update=false

ldap_id_mapping=true

Listing 7.26 Die Konfigurationsdatei zum »sssd«

174



7


Einige der Parameter sind selbsterklärend, doch ein paar der Parameter möchte ich hier noch

im Einzelnen erklären:

E domains = example

Hier geben Sie den NetBIOS-Namen der Domäne an. Sie können hier auch mehrere Do-

mänen eintragen. Dann muss aber für jede Domäne eine eigene Section in der Konfigu-

rationsdatei folgen.

E override_homedir = /home/%u

Hier wird den Benutzern das Heimatverzeichnis zugewiesen. Die Variable %u steht dabei

für den Anmeldenamen des Benutzers. Ohne diesen Parameter wird allen Benutzern die

root des Dateisystems als Heimatverzeichnis zugewiesen.

E default_shell = /bin/bash

Legt die Login-Shell der Benutzer fest.

E filter_users = root filter_groups = root

Hier können Sie Benutzer und Gruppen eintragen, die von sssd nicht über NSS aufgelöst

werden sollen. Besonders sinnvoll ist das für Systembenutzer.

E cache_credentials = true

Dieser Parameter sorgt dafür, dass die Anmeldeinformationen vom sssd zwischengespei-

chert werden und dass sich der Benutzer auch anmelden kann, wenn die Domäne nicht

verfügbar ist.

E ldap_sasl_authid = [email protected]

Hier muss derselbe Hostname für die Kerberos-Authentifizierung eingetragen sein wie

in der keytab-Datei, die Sie auf dem System abgelegt haben. Auch hier dürfen Sie das

Dollarzeichen nicht vergessen.

E ldap_id_mapping=true

Hierdurch wird das ID-Mapping auf dem Client aktiviert, und mit getent passwd können

Sie dann alle Benutzer auflisten lassen.

Achten Sie auf die richtigen Berechtigungen

Ganz wichtig ist, dass Sie bei den Berechtigungen der Konfigurationsdatei /etc/sssd/sssd.conf

und der keytab-Datei /etc/krb5.keytab die Rechte so setzen, dass nur der root Schreib- und

Leserecht an den Dateien hat. Passen Sie die Rechte nicht an, wird der sssd nicht starten.

Starten Sie jetzt den sssd neu, sehen Sie die Benutzer und Gruppen dann mit getent passwd

und getent group.

175




7.4.2 »sssd« und »apparmor«

Bei vielen Distributionen wird apparmor verwendet, um den Zugriff für bestimmte Dienste

im Dateisystem einzuschränken. In den entsprechenden Konfigurationsdateien wird festge-

legt, auf welche Dateien und mit welchen Rechten der Dienst auf die Dateien zugreifen darf.

Immer wenn Sie vom Standard der Dateien für einen solchen Dienst abweichen, müssen Sie

die Konfiguration dieses Dienstes in apparmor anpassen.

Bei sssd handelt es sich um einen Dienst, der über apparmor abgesichert ist. In Listing 7.27

sehen Sie die Datei /etc/apparmor.d/usr.sbin.sssd:

#include <tunables/global>

/usr/sbin/sssd {

#include <abstractions/base>

#include <abstractions/kerberosclient>

#include <abstractions/nameservice>

#include <abstractions/user-tmp>

capability dac_override,

capability dac_read_search,

capability setgid,

capability setuid,

capability sys_nice,

@PROC r,

@PROC/[0-9]*/status r,

/etc/krb5.keytab k,

/etc/ldap/ldap.conf r,

/etc/localtime r,

/etc/shells r,

/etc/sssd/sssd.conf r,

/usr/sbin/sssd rmix,

/usr/lib/@multiarch/ldb/modules/ldb/* m,

/usr/lib/@multiarch/sssd/* rix,

/tmp/{,.}krb5cc_* rwk,

/var/lib/sss/* rw,

/var/lib/sss/db/* rwk,

/var/lib/sss/pipes/* rw,

/var/lib/sss/pipes/private/* rw,

/var/lib/sss/pubconf/* rw,

/var/log/sssd/* rw,

/var/tmp/host_* rw,

/{,var/}run/sssd.pid rw,

}

Listing 7.27 Die Konfigurationsdatei von »apparmor«

176


S. 177 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: server/server , Aktueller Job: samba4

7

7.5 Das grafische Login

Wichtig sind hier die Zeilen, die Konfigurationsdateien betreffen. In der Konfigurationsdatei

von sssd wurde ja die keytab-Datei mit dem Dateinamen krb5.keytab festgelegt. Hier se-

hen Sie jetzt den Grund dafür. Über apparmor wird der Zugriff auf diese Datei festgelegt.

Wollen Sie einen anderen Dateinamen als krb5.keytab verwenden, müssen Sie die appar-

mor-Konfiguration für sssd anpassen und dann apparmor neu starten.

7.5 Das grafische Login

Wenn Sie mit Linux-Clients arbeiten, dann haben Sie in den meisten Fällen eine grafische

Oberfläche für Ihre Benutzer eingerichtet. Damit sich jetzt auch die Benutzer aus dem Ac-

tive Directory Ihres Samba4-Servers anmelden können, müssen Sie den Anmeldemanager

lightdm anpassen, da dieser Anmeldemanager in den meisten Distributionen so konfiguriert

ist, dass sich nur lokale Benutzer anmelden können.

Für die Anpassung gehen Sie in die Systemeinstellungen und klicken dort auf Anmeldebild-

schirm LightDM. Anschließend klicken Sie auf die Classic-Ansicht, um die Anmeldung

auch für andere als lokale Benutzer zu ermöglichen (siehe Abbildung 7.4).

Abbildung 7.4 Umstellung des »lightdm«

177

Auf einen Blick

1 Grundlagen zu den Protokollen ...................................................................... 21

TEIL I Einrichtung und Verwaltung einer Domäne2 Vorbereitung und Installation ......................................................................... 29

3 Die Benutzerverwaltung ................................................................................... 43

4 Verwaltung von Freigaben und Logonskripten ......................................... 83

5 Das Dateisystem .................................................................................................. 107

6 Der Einsatz von Gruppenrichtlinien .............................................................. 139

TEIL II Mitglieder in der Domäne7 Verwaltung von Clients in der Domäne ....................................................... 153

8 Zusätzliche Server in der Domäne ................................................................. 179

9 Konfiguration über die Registry ...................................................................... 205

TEIL III Erweiterte Administration10 Sicherung der Einstellungen ............................................................................ 219

11 Wiederherstellung von gelöschten Objekten ............................................ 227

TEIL IV Migration12 Die Migration einer bestehenden Domäne ................................................ 243

TEIL V Samba 4 im Netzwerk13 Samba 4 als Printserver ..................................................................................... 261

14 WINS und Samba 4 ............................................................................................. 273

15 Einrichtung von ssh ............................................................................................ 281

16 Samba 4 und Firewalls ....................................................................................... 285

17 Schemaerweiterung für Zarafa-Groupware ............................................... 289

TEIL VI Der Workshop zum Buch18 Jetzt alles zusammen ......................................................................................... 297

Auf einen Blick


S. 5 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: samba4

Inhalt

Inhalt

Geleitwort ........................................................................................................................................ 12

Vorwort ............................................................................................................................................ 14

Über dieses Buch ............................................................................................................................. 17

1 Grundlagen zu den Protokollen 21

1.1 Das Protokoll »SMB« ........................................................................................................ 21

1.2 Das Protokoll »NetBIOS« ................................................................................................. 24

TEIL I Einrichtung und Verwaltung einer Domäne

2 Vorbereitung und Installation 29

2.1 Vorbereitungen ................................................................................................................. 29

2.1.1 Die SerNet-Pakete zu Samba4 ...................................................................... 30

2.1.2 Konfiguration des ersten Domaincontrollers (DC) ...................................... 32

2.1.3 Erster Start des Samba4-Servers .................................................................. 36

2.2 Testen des Domaincontrollers ........................................................................................ 37

2.2.1 Testen der Serverports ................................................................................... 37

2.2.2 Testen des DNS-Servers ................................................................................. 38

2.2.3 Test des Verbindungsaufbaus ....................................................................... 38

2.2.4 Test des Kerberos-Servers .............................................................................. 39

2.2.5 Testen des LDAP-Servers ................................................................................ 40

2.3 Konfiguration des Zeitservers ........................................................................................ 42

3 Die Benutzerverwaltung 43

3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile ............................... 44

3.1.1 Verwaltung von Gruppen über die Kommandozeile .................................. 45

3.1.2 Verwaltung von Benutzern über die Kommandozeile ................................ 50

3.1.3 Ändern und Suchen von Benutzern mit den ldb-tools ............................... 55

3.1.4 Verwendung von »ldapsearch« ..................................................................... 61

5



Inhalt

3.2 Die »Remote Server Administration Tools«(RSAT) ..................................................... 63

3.2.1 Einrichtung der »Remote Server Administration Tools«(RSAT) ................. 63

3.2.2 Benutzer- und Gruppenverwaltung mit den »RSAT« ................................. 67

3.3 Benutzer- und Gruppenverwaltung mit dem »LAM« ................................................ 67

3.3.1 Installation des LAM ....................................................................................... 68

3.3.2 Konfiguration des »LAM« .............................................................................. 70

3.3.3 Arbeiten mit dem LAM ................................................................................... 77

4 Verwaltung von Freigaben und Logonskripten 83

4.1 Freigabenverwaltung über die Datei »smb.conf« ...................................................... 84

4.2 Verwaltung der Freigaben über die Registry ............................................................... 86

4.2.1 Erstellen einer Freigabe in der Registry ........................................................ 88

4.2.2 Zugriff auf eine Freigabe aus der Registry ................................................... 90

4.2.3 Erweitern einer Freigabe in der Registry ...................................................... 92

4.2.4 Sichern der Freigabeeinstellungen aus der Registry ................................... 93

4.2.5 Löschen einer Freigabe aus der Registry ...................................................... 94

4.2.6 Wiederherstellen von Freigaben in der Registry ......................................... 94

4.3 Spezielle Freigaben ........................................................................................................... 94

4.3.1 Die Freigabe der Heimatverzeichnisse ......................................................... 95

4.3.2 Einrichtung der Freigabe für servergespeicherte Profile ............................ 99

4.3.3 Die Freigaben »sysvol«und »netlogon« ........................................................ 101

4.4 Samba und das »Distributed File System«(DFS) ......................................................... 101

4.4.1 Grundlagen DFS .............................................................................................. 102

4.4.2 Samba4 als DFS-Proxy ................................................................................... 102

4.4.3 Einrichtung einer DFS-Freigabe mit DFS-Link .............................................. 103

4.5 Logonskripte ...................................................................................................................... 104

4.5.1 Erstellen eines Logonskriptes ........................................................................ 105

4.5.2 Zuweisung der Logonskripte ......................................................................... 105

5 Das Dateisystem 107

5.1 Dateisystemberechtigungen .......................................................................................... 107

5.1.1 Aufhebung der Vererbung ............................................................................. 110

5.1.2 Ändern des Besitzers ...................................................................................... 114

6



Inhalt

5.2 Dateisystemquotas .......................................................................................................... 117

5.2.1 Installation und Aktivierung der Quotas ..................................................... 117

5.2.2 Journaling-Quotas .......................................................................................... 119

5.2.3 Quota-Einträge verwalten ............................................................................. 120

5.3 Viren scannen mit »scannedonlyd« .............................................................................. 125

5.3.1 Herunterladen der Pakete ............................................................................. 126

5.3.2 Installation der Abhängigkeiten ................................................................... 126

5.3.3 Kompilieren des »scannedonlyd« ................................................................. 128

5.3.4 Konfiguration des Daemons ......................................................................... 130

5.3.5 Testen mit einer Virensignatur ..................................................................... 135

5.3.6 Anpassen der Freigabe ................................................................................... 136

6 Der Einsatz von Gruppenrichtlinien 139

6.1 Gruppenrichtlinien – Grundlagen ................................................................................. 139

6.1.1 Verwaltung der GPOs mit den RSAT ............................................................. 140

6.1.2 Erste Schritte mit dem Gruppenrichtlinieneditor ....................................... 140

6.1.3 Erstellen einer Gruppenrichtlinie .................................................................. 142

6.1.4 Verknüpfung der Gruppenrichtlinie mit einer OU ...................................... 145

6.1.5 Verschieben der Benutzer und Gruppen ...................................................... 147

6.2 GPOs über die Kommandozeile ..................................................................................... 148

TEIL II Mitglieder in der Domäne

7 Verwaltung von Clients in der Domäne 153

7.1 Hinzufügen eines Windows-Clients in die Domäne .................................................. 153

7.2 Hinzufügen eines Linux-Clients zur Domäne .............................................................. 156

7.2.1 Konfiguration der Authentifizierung ........................................................... 164

7.3 Zugriff von Linux-Clients auf Samba-Freigaben ......................................................... 165

7.3.1 Die Verwendung der Datei »/etc/fstab« ...................................................... 165

7.3.2 Mounten über »pam_mount« ...................................................................... 169

7.4 »sssd«versus »winbind« .................................................................................................. 171

7.4.1 Installation und Konfiguration von »sssd« .................................................. 172

7.4.2 »sssd«und »apparmor« ................................................................................. 176

7.5 Das grafische Login ........................................................................................................... 177

7



Inhalt

8 Zusätzliche Server in der Domäne 179

8.1 Einrichten eines zusätzlichen Linux-Fileservers .......................................................... 179

8.1.1 Umstellen der Heimatverzeichnisse ............................................................. 181

8.1.2 Umstellung der Profilverzeichnisse .............................................................. 182

8.1.3 Weitere Freigaben .......................................................................................... 183

8.2 Einrichten eines zusätzlichen Samba 4-Domaincontrollers ..................................... 185

8.2.1 Installation des neuen DCs ............................................................................ 186

8.2.2 Konfiguration des DNS-Servers ..................................................................... 186

8.2.3 Konfiguration des zweiten DCs .................................................................... 191

8.2.4 Testen des neuen DCs .................................................................................... 193

8.2.5 Replikation der Freigabe »sysvol« ................................................................. 198

9 Konfiguration über die Registry 205

9.1 Die Registry-Datenbank .................................................................................................. 206

9.2 Das Kommando »net conf« ............................................................................................ 209

9.3 Verlagern der [global]-Section in die Registry ............................................................ 210

TEIL III Erweiterte Administration

10 Sicherung der Einstellungen 219

10.1 Sicherung der Datenbanken ........................................................................................... 219

10.2 Wiederherstellung der Datenbanken ........................................................................... 225

11 Wiederherstellung von gelöschten Objekten 227

11.1 Wo und wie werden gelöschte Objekt abgelegt? ...................................................... 227

11.2 Festlegen des »Function Level«der Domäne ............................................................... 229

11.3 Was kann wiederhergestellt werden? .......................................................................... 230

11.4 Wiederherstellung ohne »Recycle-Bin« ....................................................................... 230

11.5 Wiederherstellung mit »Recycle-Bin« .......................................................................... 234

8



Inhalt

TEIL IV Migration

12 Die Migration einer bestehenden Domäne 243

12.1 Migration von Samba 3 ................................................................................................... 243

12.1.1 Migration einer »tdb«-Backend-Domäne .................................................... 244

12.1.2 Migration der Benutzer und Gruppen aus einem openLDAP ..................... 250

12.2 Migration eines Windows-Servers ................................................................................ 255

12.2.1 DNS-Einträge erstellen und prüfen .............................................................. 255

12.2.2 Global Catalog umziehen .............................................................................. 256

12.2.3 Übertragung der FSMO-Rollen ...................................................................... 256

12.2.4 Prüfen der Gruppenrichtlinien ...................................................................... 257

TEIL V Samba 4 im Netzwerk

13 Samba 4 als Printserver 261

13.1 Vorbereitungen ................................................................................................................. 261

13.1.1 Privilegien für die Druckerverwaltung ......................................................... 262

13.2 Vorbereitungen des CUPS-Drucksystems .................................................................... 264

13.3 Einrichten der Freigaben ................................................................................................. 265

13.4 Hochladen der Drucktreiber ........................................................................................... 267

13.5 Zuordnung des Druckertreibers ..................................................................................... 269

13.6 Verbinden mit dem Drucker ........................................................................................... 271

14 WINS und Samba 4 273

14.1 Einrichten des Knotentyps .............................................................................................. 274

14.2 Konfiguration des »WINS«-Servers ............................................................................... 276

14.3 Einrichten der Replikation ............................................................................................... 276

14.4 Backup und Recovery der WINS-Daten ........................................................................ 277

14.5 Testen der WINS-Server ................................................................................................... 278

9



Inhalt

15 Einrichtung von ssh 281

15.1 Einrichtung des ssh-Servers ............................................................................................ 281

15.2 Einrichten des Clients ....................................................................................................... 282

16 Samba4 und Firewalls 285

16.1 Ports auf einem Domaincontroller ................................................................................ 285

16.2 Ports auf einem Fileserver .............................................................................................. 287

17 Schemaerweiterung für Zarafa-Groupware 289

17.1 Vorbereitung der Installation ......................................................................................... 289

17.2 Installation der Schemaerweiterung ............................................................................ 291

17.3 Verwaltung der Zarafa-Eigenschaften .......................................................................... 292

TEIL VI DerWorkshop zum Buch

18 Jetzt alles zusammen 297

18.1 Das Unternehmen ............................................................................................................ 297

18.2 Planung des Active Directory ......................................................................................... 299

18.3 Installation des ersten Domaincontrollers .................................................................. 30118.3.1 Einrichtung des Zeitservers ........................................................................... 303

18.4 Installation des zweiten Domaincontrollers ............................................................... 304

18.5 Replikation der Freigabe »sysvol« ................................................................................. 308

18.6 Erster Teil der Konfiguration des Fileservers ............................................................... 310

18.7 Aufbau der Active Directory-Struktur ........................................................................... 31518.7.1 Anlegen der ersten Gruppen ......................................................................... 31618.7.2 Anlegen der Benutzervorlagen ..................................................................... 31818.7.3 Gruppenrichtlinien ......................................................................................... 32118.7.4 Prüfen der Gruppenrichtlinien auf der Kommandozeile ............................ 325

10



Inhalt

18.8.1 Festplattenkontingente ................................................................................. 32818.8.2 Dateisystemstruktur und Freigaben ............................................................ 33218.8.3 Die Logonskripte ............................................................................................. 33718.8.4 Bereitstellung der Laufwerke über Gruppenrichtlinien ............................. 338

18.9 Einrichtung des Printservers ........................................................................................... 34218.9.1 Konfiguration von CUPS ................................................................................ 34318.9.2 Einrichtung der Freigaben für den Printserver ............................................ 34318.9.3 Zuweisung der Drucker über Gruppenrichtlinien ....................................... 345

18.10 Nachwort zumWorkshop ............................................................................................... 346

Index ............................................................................................................................... .................. 348

11

18.8 Zweiter Teil der Konfiguration des Fileservers ............................................................ 328


S. 348 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: samba4.ind , Aktueller Job: samba4

Index

Index

/etc/profile 168

[global]-Section 210

A

acl 107

apparmor 176

apt-get 30

apt-get update 157

apt-transport-https 30

Ausfallsicherheit 179

B

Backup 277

Baumstruktur 208

Benutzerschablone 318

Benutzerverwaltung 43

bind9 29

BIND9_DLZ 34

BIND9_FLATFILE 34

C

cifs 165

Kerberos 165

pam_mount 165

clamav 125

Clients 153

DNS-Server 153

TGT 165, 169

Computersuchdienst 21, 273

Cron-Job 203

CUPS 261, 264

D

Dateisystem 107

Dateisystemquotas 117

Dateisystemrechte 107

Besitzer 114

Vererbung 110

Debian-Wheezy 29

Desaster Recovery 219

DFS 101

DFS-Link 102

DFS-Proxy 102

DFS-Server 103

DFS-Link 103

DFS-Proxy 102

Distributed File System 101

DNS-Server 33, 190

Domaincontroller 153

Druckertreiber 267

E

edquota 122

edquote 123

EICAR 135

enablerecyclebin 234

exportkeytab 173

F

fake-root 243

Festplattenkontingent 117, 328

Firewall 285

netstat 286, 288

Ports DC 285

Ports Fileserver 287

Forward-Lookupzone 186

FQDN 154

Freigaben 83, 84

directory security mask 86

export 88

hide unreadable 85

HKLM 87

Logonskript 94

read only = yes 84

Registry 86

registry shares = yes 90

rpc 86

security mask 86

smbclient 90

tdbtool 86

348



Index

template homedir 95

users 97

Freigabeverwaltung 84

freshclam 127

FSMO 198

PDC-Master 198

fstab 29

Function Level 227, 229

G

Garbage-Collection 227

getent passwd 181

Global Catalog 256

GPO 139

Gruppenrichtlinien 94, 139

samba-tool gpo 139

Verknüpfung 146

Gruppenrichtlinieneditor 140

Gruppenrichtlinienobjekt 141

Gruppenrichtlinienverwaltung 142

Gruppenrichtlinienverwaltungs-Editor 143

H

Heimatverzeichnis 95, 181

heimdal-clients 39

I

ID-Mapping 39, 44, 48, 108, 163, 179

idmap config 180

Init-Skript 36

Installation

Public Key 30

Repository 30

sources.list 30

interfaces 35

dns-nameservers 35

dns-search 35

J

Journaling-Quotas 119

K

Kerberos-Server 29, 39

Kerberos-Tickets 164

Keyring 31

kinit 39

klist 39, 164

Knotentyp 274

L

LAM 67, 68

Accounttypen 71

LDAP-Account-Manager 43, 44, 67

Baumansicht 79

installieren 68

konfigurieren 70

ldapsearch 61

ldbedit 60, 277

ldbmodify 60

ldbsearch 40

ldif-Datei 60

lightdm 177

Linux-Client 156

winbind 158

Linux-Fileserver 179

LMhosts 274

Logonskript 83, 94, 337

M

Masterbrowser 273, 279

Migration 243

/etc/group 249

Betriebsmodus 255

FSMO 255, 257

Global Catalog 256

In-Place 243

openLDAP 250

Provisioning 244

smbpasswd 243

tdb-Dateien 243

Windows 2000 255

Windows-Server 255

wins support = yes 245

msDS-deletedObjectLifetime 234

349



Index

N

Nameserver 35

NetBEUI 24

NetBIOS 21, 24, 273

NetBIOS-Domainname 33

netlogon 36, 39, 94, 104

netstat 37, 201

Netzwerkumgebung 273

nmbd 24

nmblookup 278

NTDS-Setting 256

ntlm 170

NTP 42

ntp.conf 42

O

objectCategory 239

Onlinevirenscanners 107

P

PAM 164

PAM-Einrichtung 179

PAM-Module 156

pam_mount 165, 169

Passwort 51

pdbedit 44

PDC-Master 199

Point’n’Print 261

Printserver 261

Point’n’Print 269

print$ 265

printers 265

Privilegien 262

rpcclient 270

Systemprivilegien 262

Profile 99

Profilverzeichnis 182

Protokolle 21

Provisioning 244

PTR-Record 188

Public Key 30

Q

Quota 117

aqouta.group 119

aquota.user 119

edquota 120

fstab 117

grpquota 117

Hardlimit 121

journaling quotas 119

quotacheck 118

quotaon 120

repquota 123

Softlimit 121

usrquota 117

Quota-Einträge 120

R

Realm 33

Recovery 277

Recycle-Bin 227, 234

Registrierungs-Editor 275

Registry 83, 86, 205, 208, 224

binaries 206

Hive 206

HKLM 206

integer 206

net conf 209

registry shares = yes 210

samba-regedit 208

string 206

Remote Server Administration Tools 43, 63

Replikation 198, 276

repquota 122

resolv.conf 35

resolvconf 35

Resolver 38

Reverse-Auflösung 193

Reverse-Lookupzone 187

rfc2307-Schema 172

RID 163

RSAT 43, 63

rsync 198, 199

dry-run 202

rsyncd 201

rsyncd.conf 200

350



Index

S

sam.ldb 234

Samba-Freigaben 165

Samba-Ports 37

samba-tool 32, 33, 44

create username 51

disable user 53

group add 47

group addmembers 49

group list 45

group listmembers 47

provision 33

user 50

user delete 54

user enable 53

user list 51

samba4wins 274

scannedonly 125

scannedonlyd 125

Schemaerweiterung 290

Schemamaster 289

SePrintOperatorPrivilege 269

sernet-samba-ad 186

Server 179

Serverports 37

setfacl 29

setfattr 29

Sicherung 219

SID S-1-22-2-0 108

Single sign-on 281

SMB 21

smb.conf 153, 209, 224

SMB2 22

SMB3 24

smbclient 38

smbd-Prozess 83

smbpasswd 243

ssh 281

net ads keytab 282

ssh-Server 281

ssh_config 282

sshd_config 281

sssd 171

sysvol 36, 39, 94, 101, 185, 198, 224

Replikation 198

T

tdb-Datei 224

tdb-Datenbank 86

tdbdump 87, 163

tdbtool 86

testparm 214

tombstoneLifetime 234

U

user_xattr 107

V

Verbindungsaufbau 38

Vererbung 110

VFS 125

Virenscanner 125

clamav 125

freshclam 127

insserv scannedonlyd 134

scannedonly 125

scannedonlyd 125

socket 134

Virensignatur 135

Virtual File System Module 125

W

wbinfo -u 161, 180

wbinfo-g 161

Wiederherstellung 225

winbind 48, 156, 171, 211

Windows 7-Client 153

Windows Remote Server Administration Tools

(RSAT) 44, 63

Windows-Client 153

Windows-Domaincontroller 29

Windows-Server 153

WINS 273

Replikation 277

Workshop 297

Benutzerschablonen 318

Druckertreiber 344

351



Index

Festplattenkontingent 310, 328

Forwarder 303

fstab 328

Gruppenrichtlinien 321

Heimatverzeichnis 313

hide unreadable 332

interfaces 303

Logonskript 337

Namensstandard 300

netlogon 309

nsswitch.conf 313

Organisationseinheiten 316

Organisationsstruktur 299

Partitionierung 310

Printserver 342

Profile 314

Provisioning 301

Quotas 310, 328

Registry 312

Replikationsbenutzer 309

Reverse-Lookupzone 305

sysvol 309

sysvol-Replikation 308

Zeitserver 303

X

xinetd 199, 201

xinetd.d 199

Z

Zarafa 289

zarafaads.exe 292

Zeitserver 42, 303

352

Wir hoffen sehr, dass Ihnen diese Leseprobe gefallen hat. Gerne dürfen Sie diese Leseprobe empfehlen und weitergeben, allerdings nur vollständig mit allen Seiten. Die vorliegende Leseprobe ist in all ihren Teilen urheberrecht-lich geschützt. Alle Nutzungs- und Verwertungsrechte liegen beim Autor und beim Verlag.

Teilen Sie Ihre Leseerfahrung mit uns!

Stefan Kania hatte seinen ersten Kontakt mit Linux im Jahr 1993 während seiner Ausbildung zum Informatiker am b.i.b E.V. in Paderborn. Seit 1997 ist er freiberuflich als Consultant und Trainer tätig. Seine Schwerpunkte liegen in der Implementierung von Samba und LDAP sowie in Schulungen zu beiden Themen.

Stefan Kania

Samba 4 – Das Praxisbuch für Administratoren352 Seiten, gebunden, Juni 2014 39,90 Euro, ISBN 978-3-8362-2973-9

www.galileo-press.de/3664

Wissen, wie’s geht.

https://www.facebook.com/GalileoPressVerlag

https://plus.google.com/118435207805510651040

http://twitter.com/Galileo_Press

http://www.galileocomputing.de/3664?GPP=lpn

Date post:	06-Mar-2018
Category:	Documents
Upload:	hanhu
View:	243 times
Download:	6 times

Samba 4 – Das Praxisbuch für Administratoren - AWS · PDF fileLeseprobe Mit diesem...

Documents