Upload
hanhu
View
245
Download
6
Embed Size (px)
Citation preview
LeseprobeMit diesem Buch haben Sie Ihre Samba-4-Umgebung voll im Griff. In dieser Leseprobe lernen Sie den Umgang mit der Benutzer- und Clientverwaltung. Außerdem können Sie einen Blick in das vollstän-dige Inhalts- und Stichwortverzeichnis des Buches werfen.
Stefan Kania
Samba 4 – Das Praxisbuch für Administratoren352 Seiten, gebunden, Juni 2014 39,90 Euro, ISBN 978-3-8362-2973-9
www.galileo-press.de/3664
»Die Benutzerverwaltung« »Verwaltung von Clients in der Domäne«
Inhalt
Index
Der Autor
Leseprobe weiterempfehlen
Wissen, wie’s geht.
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 43 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
Kapitel 3
Die Benutzerverwaltung
Nach der Installation des ersten Domaincontrollers geht es jetzt um die Ver-
waltung der Gruppen und Benutzer. Unter Samba4 haben Sie verschiedene
Möglichkeiten, die Benutzer und Gruppen zu verwalten. Da wäre zum einen die
Verwaltung auf der Kommandozeile: Diese Möglichkeit ist sehr gut geeignet, um
viele Benutzer und Gruppen gleichzeitig anzulegen oder zu ändern. Zum anderen
können Sie die von Microsoft frei verfügbaren Remote Server Administration
Tools (RSAT) nutzen. Über die RSAT können Sie eine Samba4-Domäne genau so
verwalten wie eine echte Microsoft-Active-Directory-Domäne. Es gibt zusätzlich
verschiedene webbasierte Werkzeuge, die Sie nutzen können. Hier im Buch soll der
LDAP-Account-Manager (LAM) als Beispiel zum Einsatz kommen.
Nachdem im vorherigen Kapitel die komplette Installation und Konfiguration des ersten
Domaincontrollers abgeschlossen wurde und Sie jetzt eine Active-Directory-Domäne haben,
soll es jetzt um die Verwaltung der Gruppen und Benutzer gehen. An die Linux-Admins unter
Ihnen: Sie müssen hier etwas umlernen, aber einen positiven Punkt möchte ich am Anfang
hervorheben. Anders als bei Samba 3 müssen Sie bei Samba 4 kein Linux-Konto erstellen,
bevor Sie ein Samba-Konto erstellen können. Hier zeigen sich ganz klar die Unterschiede in
dem Konzept von Samba3 und Samba4. Sie legen nur noch ein Samba-Konto an. Der Samba
4-Server sorgt später über das ID-Mapping dafür, dass auch Linux-Benutzer das System zur
Authentifizierung nutzen können.
Aber wo Licht ist, ist auch irgendwo Schatten: Da Samba 4 für die Verwaltung einer Win-
dows-Umgebung ausgelegt ist, ist die Verwaltung der Linux-Benutzer ganz anderen Regeln
unterworfen, als Sie es gewohnt sind. Beim Anlegen der Benutzer werden Sie den ersten
Unterschied feststellen, denn das Kommando useradd und andere Kommandos zur Benut-
zerverwaltung werden Sie jetzt nicht mehr benötigen. Das Hauptaugenmerk liegt hier in
erster Linie auf der Verwaltung von Windows-Benutzern und Gruppen. Aber selbstverständ-
lich können sich auch Linux-Benutzer gegen das Active Directory authentifizieren und über
Freigaben auf das Dateisystem zugreifen.
Aber die Linux-Benutzer unterliegen jetzt denselben Richtlinien wie die Windows-Benutzer.
Das heißt, die Authentifizierung findet über Kerberos statt, alle Benutzer liegen immer im
LDAP und die Freigaben werden über cifs verwaltet. Aber das größte Augenmerk müssen Sie
auf das Mapping der UID und GID Ihrer Benutzer und Gruppen legen. Die beiden Attribute
43
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 44 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
sind unter Windows keine Standardattribute und werden über das ID-Mapping von Samba4
bereitgestellt.
Im Verlauf des Buches werde ich das Thema ID-Mapping immer wieder aufgreifen, um Ihnen
zu zeigen, wie Sie mit dem Mapping umgehen müssen, um ein einheitliches Mapping in
Ihrer Domäne auf allen Linux-Systemen zu bekommen.
Für die Benutzerverwaltung unter Samba4 gibt es jetzt verschieden Wege:
E mit dem Samba4-Werkzeug samba-tool
Mit dem samba-tool können Sie Benutzer und Gruppen über die Kommandozeile verwal-
ten. Damit haben Sie dann auch die Möglichkeit, mehrere Benutzer über Skripte anzule-
gen, zu ändern oder zu löschen.
E über einen Windows-Client mit den Windows Remote Administration Tools (RSAT)
Für Windows können Sie die Windows Remote Server Administration Tools (RSAT) bei
Microsoft herunterladen und dann von Windows aus die Verwaltung von Benutzern und
Gruppen vornehmen. Voraussetzung ist mindestens Windows7 Professional.
E mit dem LDAP-Account-Manager (LAM)
Dank dem Einsatz von Roland Gruber gibt es jetzt ein Modul für den LAM, mit dem
Sie die Benutzer und Gruppen von Samba 4 über das webbasierte Werkzeug verwalten
können, obwohl bei Samba 4 kein openLDAP zum Einsatz kommt, sondern ein eigener
LDAP-Server.
3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile
Im ersten Teil geht es um die Verwaltung der Benutzer und Gruppen über die Kommando-
zeile. Die gesamte Verwaltung der Benutzer und Gruppen erfolgt hier über das Kommando
samba-tool. Das samba-tool ist die Zusammenfassung der unter Samba3 bekannten net-Tools
und des Kommandos pdbedit und ersetzt diese bei der Verwaltung von Gruppen und Benut-
zern vollständig.
Als Linux-Administrator werden Sie anfangs versuchen, alle Benutzer und Gruppen über
die Kommandozeile zu verwalten, was theoretisch möglich ist. Aber Sie werden sehr schnell
feststellen, dass es an manchen Stellen einfacher ist, Benutzer über die RSAT zu verwalten –
besonders, wenn es darum geht, die Vielzahl an Attributen eines Benutzers zu verändern.
Als Windows-Administrator werden Sie auf der anderen Seite auch schnell die Vorzüge der
Verwaltung der Benutzer und Gruppen über die Kommandozeile schätzen lernen. Besonders
dann, wenn Sie mehrere Benutzer auf einmal anlegen wollen, denn dann können Sie das
Kommando samba-tool recht einfach in Shell-Skripten einsetzen.
Deshalb folgt jetzt eine ausführliche Erklärung der Benutzerverwaltung über die Komman-
dozeile mit aussagekräftigen Beispielen.
44
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 45 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile
3.1.1 Verwaltung von Gruppen über die Kommandozeile
Mit dem Kommando samba-tool group verwalten Sie die Gruppen. Zu dem Kommando gibt
es die verschiedenen Optionen für die Verwaltung. Wenn Sie auf der Kommandozeile nur das
Kommando samba-tool group eingeben, dann erhalten Sie eine Hilfe zu dem Kommando. In
Listing 3.1 sehen Sie die Hilfe:
root@samba4-1:~# samba-tool group
Usage: samba-tool group <subcommand>
Group management.
Options:
-h, --help show this help message and exit
Available subcommands:
add - Creates a new AD group.
addmembers - Add members to an AD group.
delete - Deletes an AD group.
list - List all groups.
listmembers - List all members of an AD group.
removemembers - Remove members from an AD group.
For more help on a specific subcommand, please type: samba-tool group\
<subcommand> (-h|--help)
Listing 3.1 Hilfe zu »samba-tool group«
In den folgenden Abschnitten werde ich auf alle Subkommandos eingehen, aber nicht in der
Reihenfolge, wie sie in der Hilfe aufgelistet sind. So haben Sie die Möglichkeit, alle Beispiele
direkt auszuprobieren.
Auflisten der Gruppen mit »group list«
Eine Übersicht über alle Gruppen im System erhalten Sie, wie in Listing 3.2 zu sehen, mit
samba-tool group list:
root@samba4-1:~# samba-tool group list
Allowed RODC Password Replication Group
Enterprise Read-Only Domain Controllers
Denied RODC Password Replication Group
Pre-Windows 2000 Compatible Access
Windows Authorization Access Group
Certificate Service DCOM Access
Network Configuration Operators
Terminal Server License Servers
Incoming Forest Trust Builders
45
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 46 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Read-Only Domain Controllers
Group Policy Creator Owners
Performance Monitor Users
Cryptographic Operators
Distributed COM Users
Performance Log Users
Remote Desktop Users
Account Operators
Event Log Readers
RAS and IAS Servers
Backup Operators
Domain Controllers
Server Operators
Enterprise Admins
Print Operators
Administrators
Domain Computers
Cert Publishers
DnsUpdateProxy
Domain Admins
Domain Guests
Schema Admins
Domain Users
Replicator
IIS_IUSRS
DnsAdmins
Guests
Users
Listing 3.2 Auflisten der Gruppen
Hier sehen Sie eine Liste aller Gruppen, die nach der Installation des Systems vorhanden
sind. Bei diesen Gruppen handelt es sich um Gruppen, die auch für die Verwaltung des ADs
unter Windows benötigt werden.
Löschen Sie keine der Gruppen
Löschen Sie keine der hier aufgelisteten Gruppen aus Ihrem System. Alle diese Gruppen haben
eine feste Bedeutung in der Windows-Welt und werden immer mit einem festen Security
Identifier (SID) verwaltet. Löschen Sie eine der Gruppen, kann das dazu führen, dass Sie Ihre
Domäne neu aufsetzen müssen.
46
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 47 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile
Auflisten der Gruppenmitglieder einer Gruppe mit »group listmembers <group>«
Wenn Sie wissen wollen, welche Benutzer Mitglied einer Gruppe sind, können Sie, wie in
Listing 3.3 zu sehen, dies mit samba-tool group listmembers <group> überprüfen:
root@samba4-1:~# samba-tool group listmembers administrators
Administrator
Enterprise Admins
Domain Admins
Listing 3.3 Auflisten der Gruppenmitglieder
Beim Auflisten der Gruppe administrators sehen Sie, dass die Gruppe Domain Admins Mitglied
der Gruppe ist. Samba 4 kann mit den verschachtelten Gruppen umgehen. Auch Sie können
später bei der Administration Gruppen verschachteln. Im Gegensatz zu Samba3 müssen Sie
bei Samba 4 die Möglichkeit der verschachtelten Gruppen nicht mehr in der Datei smb.conf
aktivieren.
Anlegen einer neuen Gruppe mit »group add <groupname>«
Eine neue Gruppe können Sie mit dem Kommando samba-tool group add <groupname> zu
Ihrer Gruppenliste hinzufügen. Listing 3.4 zeigt das Anlegen einer neuen Gruppe:
root@samba4-1:~# samba-tool group add datengruppe
Added group datengruppe
Listing 3.4 Anlegen einer neuen Gruppe
Die gerade angelegte Gruppe ist eine reine Windows-Gruppe. Sie können die Gruppe mit
dem Kommando wbinfo -g sehen, aber im Moment noch nicht mit getent group. In Lis-
ting 3.5 sehen Sie die Liste der Gruppen:
root@samba4-1:~# wbinfo -g
Enterprise Read-Only Domain Controllers
Domain Admins
Domain Users
Domain Guests
Domain Computers
Domain Controllers
Schema Admins
Enterprise Admins
Group Policy Creator Owners
Read-Only Domain Controllers
DnsUpdateProxy
datengruppe
Listing 3.5 Liste der Gruppen
47
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 48 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Auch können Sie mit chgrp <neu-Gruppe> <Eintrag> keine Berechtigungen setzen. Das Set-
zen der Rechte wäre im Moment nur über die GID möglich, da die Namen noch nicht aufge-
löst werden können.
Für die Verwendung der Gruppe unter Linux müssen Sie das ID-Mapping aktivieren. Hier
müssen Sie zwischen dem ID-Mapping auf einem Domaincontroller und dem ID-Mapping
auf einem Fileserver oder einem Linux-Client unterscheiden. Auf dem Domaincontroller
übernimmt Samba 4 selbst das ID-Mapping und weist den Windows-Benutzern und -Grup-
pen eigene IDs zu. Auf einen Fileserver oder einem Linux-Client übernimmt der winbind
diese Aufgabe. Mehr zu dieser Problematik erfahren Sie in Kapitel 7, »Verwaltung von Cli-
ents in der Domäne«, und Kapitel 8, »Zusätzliche Server in der Domäne«.
Um die Gruppen auch im Linux-System sehen und nutzen zu können, muss die Datei
/etc/nsswitch.conf wie in Listing 3.6 angepasst werden:
passwd compat winbind
group compat winbind
shadow compat winbind
Listing 3.6 Anpassen der Datei »nsswitch.conf«
Nach der Anpassung der Datei /etc/nsswitch.conf können Sie nun mit dem Kommando
getent group alle Gruppen sehen und auch Rechte an die Gruppen über die Kommando-
zeile vergeben.
Wenn Sie später auf dem Domaincontroller keine Daten speichern wollen oder keine Ver-
waltung der Rechte über die Kommandozeile vornehmen wollen, brauchen Sie die Datei
/etc/nsswitch.conf nicht anzupassen.
In Listing 3.7 sehen Sie, dass die Domänengruppen mit aufgelistet werden:
root@samba4-1:~# getent group
root:x:0:
daemon:x:1:
.
.
.
mlocate:x:105:
ssh:x:106:
stka:x:1000:
messagebus:x:107:
ntp:x:108:
EXAMPLE\Enterprise Read-Only Domain Controllers:*:3000017:
EXAMPLE\Domain Admins:*:3000008:
EXAMPLE\Domain Users:*:100:
EXAMPLE\Domain Guests:*:3000012:
48
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 49 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile
EXAMPLE\Domain Computers:*:3000018:
EXAMPLE\Domain Controllers:*:3000019:
EXAMPLE\Schema Admins:*:3000007:
EXAMPLE\Enterprise Admins:*:3000006:
EXAMPLE\Group Policy Creator Owners:*:3000004:
EXAMPLE\Read-Only Domain Controllers:*:3000020:
EXAMPLE\DnsUpdateProxy:*:3000021:
EXAMPLE\datengruppe:*:3000022:
Listing 3.7 Auflisten der Gruppen mit »getent group«
Hinzufügen eines oder mehrerer Benutzer zu einer bestehenden Gruppe mit »group add-
members <groupname> <members>«
Über das Kommando samba-tool group addmembers <groupname> <members> können Sie meh-
rere Benutzer gleichzeitig zu einer Gruppe hinzufügen. Listing 3.8 zeigt dieses Vorgehen:
root@samba4-1:~# samba-tool group addmembers datengruppe "Domain Users"
Added members to group datengruppe
root@samba4-1:~# samba-tool group listmembers datengruppe
Domain Users
Listing 3.8 Gruppenmitglieder hinzufügen
Da Sie Gruppen verschachteln können, können Sie auch eine oder mehrere der Standard-
gruppen zu Ihrer Gruppe hinzufügen.
Achten Sie darauf, dass einige der Gruppen ein Leerzeichen im Namen haben. Dann müssen
Sie den Gruppennamen beim Hinzufügen in Hochkommata setzen.
Sie können mit dem Kommando samba-tool group addmembers <groupname> <members> keine
lokalen Gruppen des Systems zu den AD-Gruppen hinzufügen, da diese Gruppen nur auf
dem System vorhanden sind und nicht im AD.
Keine Verwendung von lokalen Gruppennamen
Verwenden Sie für neue Gruppen keine Namen, die in der lokalen Gruppenverwaltung über
die Datei /etc/group Verwendung finden. Die lokalen Gruppen haben immer Priorität vor den
Gruppen aus dem AD. Wenn Sie jetzt also eine Gruppe im AD anlegen, die denselben Namen
hat wie eine lokale Gruppe, wird das System bei der Rechtevergabe immer die lokale Gruppe
verwenden.
49
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 50 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Entfernen von einem oder mehreren Benutzern aus einer Gruppe mit »group remove-
members <groupname> <members>«
Wenn Sie einen oder mehrere Benutzer aus einer Gruppe entfernen möchten, geht das mit
dem Kommando samba-tool group removemembers <groupname> <members>. In Listing 3.9 se-
hen Sie ein Beispiel:
root@samba4-1:~# samba-tool group removemembers datengruppe "Domain Users"
Removed members from group datengruppe
Listing 3.9 Entfernen von Mitgliedern
Sie können hier auch mehrere Mitglieder, durch Leerzeichen getrennt, aus der Gruppe ent-
fernen.
3.1.2 Verwaltung von Benutzern über die Kommandozeile
Für die Verwaltung der Benutzer verwenden Sie das Kommando samba-tool user. Genau wie
bei der Verwaltung der Gruppen gibt es auch hier wieder Subkommandos für die verschie-
denen Aufgaben. Sehen Sie in Listing 3.10:
root@samba4-1:~# samba-tool user
Usage: samba-tool user <subcommand>
User management.
Options:
-h, --help show this help message and exit
Available subcommands:
add - Create a new user.
create - Create a new user.
delete - Delete a user.
disable - Disable an user.
enable - Enable an user.
list - List all users.
password - Change password for a user account (the one provided\
in authentication).
setexpiry - Set the expiration of a user account.
setpassword - Set or reset the password of a user account.
For more help on a specific subcommand, please type: samba-tool user\
<subcommand> (-h|--help)
Listing 3.10 Hilfe zum Kommando »samba-tool user«
50
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 51 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile
Auch hier werde ich wieder auf alle Subkommandos näher eingehen, sodass Sie die Beispiele
gleich testen können.
Auflisten der Benutzer mit »user list«
Alle Benutzer können Sie sich mit dem Kommando samba-tool user list anzeigen lassen.
In Listing 3.11 sehen Sie eine Liste alle Benutzer nach der Installation des Systems:
root@samba4-1:~# samba-tool user list
Administrator
dns-samba4-1
krbtgt
Guest
Listing 3.11 Auflistung aller Benutzer
Wie schon zuvor bei den Gruppen sehen Sie hier alle Benutzer, die während der Installation
angelegt werden. Auch hier gilt: Löschen Sie keinen der Benutzer.
Anlegen eines Benutzers mit »user create <username> <password>«
Um einen neuen Benutzer über die Kommandozeile anzulegen, verwenden Sie das Kom-
mando samba-tool user create username <password>. Achten Sie bei dem Passwort auf die
Komplexitätsregel. In Listing 3.12 sehen Sie ein Beispiel mit einem Passwort, das diesen Re-
geln nicht entspricht.
root@samba4-1:~# samba-tool user create Stefan geheim --given-name=Stefan\
--surname=Kania
samba-tool user create Stefan geheim --given-name=Stefan --surname=Kania
ERROR(ldb): Failed to add user 'Stefan': - 0000052D: Constraint\
violation - check_password_restrictions: the \
password does not meet the complexity criteria!
Listing 3.12 Passwort, das nicht den Komplexitätsregeln entspricht
Komplexitätsregeln bei Passwörtern
Für die Komplexitätsregeln gilt: Es müssen mindestens Groß- und Kleinbuchstaben und Zah-
len verwendet werden oder aber mindestens ein Sonderzeichen.
Sie müssen also immer drei verschiedene Zeichengruppen beim Passwort verwenden, und die
Mindestlänge eines Passworts ist sieben Zeichen.
Alle Benutzer, die Sie über die Kommandozeile anlegen, werden immer in der Organisations-
einheit cn=Users,DC=example,DC=net angelegt. Wenn Sie später eine komplexe AD-Struktur
51
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 52 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
angelegt haben, müssen Sie die neuen Benutzer auf jeden Fall immer verschieben. In Lis-
ting 3.13 sehen Sie das erfolgreiche Anlegen eines neuen Benutzers:
root@samba4-1:~# samba-tool user create Stefan geheim\!123\
--given-name=Stefan --surname=Kania
User 'Stefan' created successfully
root@samba4-1:~# samba-tool user list
Administrator
Stefan
dns-samba4-1
krbtgt
Guest
Listing 3.13 Erfolgreiches Anlegen eines Benutzers
Wie Sie in dem Beispiel sehen, können Sie beim Anlegen des Benutzers gleich weitere Para-
meter mit angeben. In diesem Beispiel sind es der Vor- und der Nachname. Alle Werte, die im
AD verwendet werden, können hier mit übergeben werden. Da es sich dabei um eine größere
Anzahl von Parametern handelt, kann an dieser Stelle nicht darauf eingegangen werden. Bei
der Benutzerverwaltung mit grafischen Werkzeugen werden Sie alle Parameter sehen und
anpassen können.
In Listing 3.14 sehen Sie, wie Sie einen Benutzer ohne weitere Parameter anlegen können:
root@samba4-1:~# samba-tool user create ktom
New Password:
Retype Password:
User 'ktom' created successfully
Listing 3.14 Ein weiterer Benutzer
Da dieses Mal kein Passwort beim Anlegen des Benutzers mitgegeben wurde, wird jetzt nach
dem Passwort für den Benutzer gefragt.
Das Heimatverzeichnis des Benutzers wird nicht mit angelegt, das müssen Sie selbst auf dem
entsprechenden Server anlegen und mit Rechten versehen. Auch müssen Sie das Heimatver-
zeichnis noch dem Benutzer zuweisen. Mehr dazu finden Sie in Kapitel 4, »Verwaltung von
Freigaben und Logonskripten«
Nach dem Anlegen des Benutzers können Sie sich den Benutzer wieder mit samba-tool user
list auflisten lassen. Auch die Benutzer sehen Sie wieder mit wbinfo -u. Wie schon bei den
Gruppen werden die neuen Benutzer mit getent passwd nur angezeigt, wenn Sie die Datei
/etc/nsswitch.conf angepasst haben. In Listing 3.15 sehen Sie sowohl das Ergebnis von wbinfo
-u als auch von getent passwd:
52
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 53 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile
root@samba4-1:~# wbinfo -u
Administrator
Guest
krbtgt
Stefan
ktom
root@samba4-1:~# getent passwd
root:x:0:0:root:/root:/bin/bash
.
.
.
stka:x:1000:1000:stka,,,:/home/stka:/bin/bash
messagebus:x:104:107::/var/run/dbus:/bin/false
ntp:x:105:108::/home/ntp:/bin/false
EXAMPLE\Administrator:*:0:100::/home/EXAMPLE/Administrator:/bin/false
EXAMPLE\Guest:*:3000011:3000012::/home/EXAMPLE/Guest:/bin/false
EXAMPLE\krbtgt:*:3000023:100::/home/EXAMPLE/krbtgt:/bin/false
EXAMPLE\Stefan:*:3000024:100:Stefan Kania:/home/EXAMPLE/Stefan:/bin/false
EXAMPLE\ktom:*:3000025:100::/home/EXAMPLE/ktom:/bin/false
Listing 3.15 Auflisten der Benutzer
In manchen Anleitungen finden Sie noch das Kommando samba-tool user add <username>
<password>. Dieses Kommando ist nur aus Kompatibilitätsgründen noch vorhanden und soll-
te nicht verwendet werden. Lesen Sie dazu auch die man-page zum Kommando samba-tool.
Deaktivieren eines Benutzers mit »samba-tool user disable <username>«
Wenn Sie einen bestehenden Benutzer nur deaktivieren wollen, weil der Benutzer sich zur
Zeit nicht anmelden darf oder soll, können Sie den Benutzer einfach deaktivieren und müs-
sen ihn nicht gleich löschen. In Listing 3.16 sehen Sie ein Beispiel für das Deaktivieren eines
Benutzers:
root@samba4-1:~# samba-tool user disable Stefan
Listing 3.16 Deaktivieren eines Benutzers
Leider erhalten Sie bei samba-tool user disable<username> keine Meldung. Ob das so gewollt
ist oder im Moment noch ein Bug ist, wird sich noch herausstellen.
Aktivieren eines deaktivierten Benutzers mit »samba-tool user enable <username>«
Um einen zuvor deaktivierten Benutzer wieder zu aktivieren, verwenden Sie das Kommando
samba-tool user enable <username> so, wie Sie in Listing 3.17 sehen können:
53
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 54 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
root@samba4-1:~# samba-tool user enable Stefan
Enabled user 'Stefan'
Listing 3.17 Aktivieren eines Benutzers
Hier bekommen Sie eine Meldung, dass der Benutzer wieder aktiviert wurde.
Ändern des Passworts eines Benutzers mit »samba-tool user setpassword <username>«
Für den Fall, dass ein Benutzer sein Passwort vergessen hat, oder wenn Sie einem Benutzer
aus einem anderen Grund ein neues Passwort zuweisen wollen, verwenden Sie das Kom-
mando samba-tool user setpassword <username>. In Listing 3.18 sehen Sie ein Beispiel dafür:
root@samba4-1:~# samba-tool user setpassword Stefan
New Password:
Changed password OK
Listing 3.18 Setzen des Passworts eines Benutzers
Beim Setzen eines neuen Passworts müssen Sie wieder auf die Komplexitätsregeln achten.
Das neue Passwort wird nur einmal eingegeben. Achten Sie also darauf, was Sie eingeben.
Sonst müssen Sie den Vorgang wiederholen.
Ändern des persönlichen Passworts durch den Benutzer mit »samba-tool user password«
Natürlich kann ein Benutzer sein Passwort auch selbst über die Kommandozeile verändern.
Dafür gibt es das Kommando samba-tool user password. In Listing 3.19 sehen Sie diesen Vor-
gang:
EXAMPLE\stefan@samba4-1:~# samba-tool user password
Password for [EXAMPLE\stefan]:
New Password:
Retype Password:
Changed password OK
Listing 3.19 Änderung des Passworts durch den Benutzer
Da der Benutzer immer erst sein altes Passwort angeben muss, wird er bei der Änderung des
eigenen Passworts immer zweimal aufgefordert, sein neues Passwort einzugeben. Denn soll-
te an der Stelle das Passwort falsch eingegeben worden sein, hat der Benutzer keine Chance
mehr, sein Passwort zu ändern, da er immer zuerst nach dem alten Passwort gefragt wird.
Löschen eines Benutzers mit »samba-tool user delete <username>«
Wenn Sie einen Benutzer aus dem System entfernen wollen, nutzen Sie dafür das Komman-
do user delete <username> so, wie Sie es in Listing 3.20 sehen:
54
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 55 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile
root@samba4-1:~# samba-tool user delete Stefan
Deleted user Stefan
Listing 3.20 Löschen eins Benutzers
Denken Sie daran, dass ein eventuelles Heimatverzeichnis des Benutzers nicht automatisch
gelöscht wird.
3.1.3 Ändern und Suchen von Benutzern mit den ldb-tools
Natürlich können Sie auch über die Kommandozeile nach Benutzern und Gruppen suchen
und diese mittels Skripten verändern. Dazu gibt es verschiedene Kommandos. Wenn Sie
bis jetzt vielleicht schon mit openLDAP gearbeitet haben, wird Ihnen die Syntax bekannt
vorkommen.
Auflisten von Benutzern mittels »ldbsearch«
Mit dem Kommando ldbsearch können Sie nach Objekten suchen. Natürlich können Sie hier
Filter verwenden, um die Ergebnisse einzugrenzen. In Listing 3.21 sehen Sie ein Beispiel für
die Suche mit ldbsearch:
root@samba4-1:~# ldbsearch -H ldaps://localhost "cn=Stefan Kania"
search error - LDAP error 1 LDAP_OPERATIONS_ERROR - <00002020:\
Operation unavailable without authentication> <>
root@samba4-1:~# ldbsearch -H ldaps://localhost "cn=Stefan Kania"\
-Uadministrator
Password for [EXAMPLE\administrator]:
# record 1
dn: CN=Stefan Kania,CN=Users,DC=example,DC=net
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Stefan Kania
sn: Kania
givenName: Stefan
instanceType: 4
whenCreated: 20131123151229.0Z
whenChanged: 20131123151229.0Z
displayName: Stefan Kania
uSNCreated: 3717
name: Stefan Kania
objectGUID: 9308101e-e97e-458c-bbac-93c346cffc56
55
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 56 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
lastLogon: 0
primaryGroupID: 513
objectSid: S-1-5-21-1304111860-2806216092-3514381476-1104
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: Stefan
sAMAccountType: 805306368
userPrincipalName: [email protected]
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=example,DC=net
pwdLastSet: 130296931490000000
userAccountControl: 512
uSNChanged: 3719
distinguishedName: CN=Stefan Kania,CN=Users,DC=example,DC=net
# Referral
ref: ldap://example.net/CN=Configuration,DC=example,DC=net
# Referral
ref: ldap://example.net/DC=DomainDnsZones,DC=example,DC=net
# Referral
ref: ldap://example.net/DC=ForestDnsZones,DC=example,DC=net
# returned 4 records
# 1 entries
# 3 referrals
# returned 2 records
# 1 entries
# 1 referrals
Listing 3.21 Beispiel für die Suche mit »ldbsearch«
Im ersten Teil dieses Beispiels sehen Sie, was passiert, wenn Sie ohne eine Authentifizierung
versuchen, auf das AD zuzugreifen. Denken Sie daran: Wenn Sie über das Netz auf den AD
zugreifen, müssen Sie sich immer authentifizieren. Im zweiten Versuch gelingt die Suche, da
hier der administrator für die Authentifizierung verwendet wird.
56
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 57 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile
In Listing 3.22 wird nicht über das Netz auf die Benutzerdatenbank zugegriffen, sondern
direkt auf die Benutzerdatenbank auf dem Domaincontroller:
root@samba4-1:~# ldbsearch --url=/var/lib/samba/private/sam.ldb "cn=Stefan Kania"
# record 1
dn: CN=Stefan Kania,CN=Users,DC=example,DC=net
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Stefan Kania
sn: Kania
givenName: Stefan
instanceType: 4
whenCreated: 20131123151229.0Z
whenChanged: 20131123151229.0Z
displayName: Stefan Kania
uSNCreated: 3717
name: Stefan Kania
objectGUID: 9308101e-e97e-458c-bbac-93c346cffc56
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
lastLogon: 0
primaryGroupID: 513
objectSid: S-1-5-21-1304111860-2806216092-3514381476-1104
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: Stefan
sAMAccountType: 805306368
userPrincipalName: [email protected]
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=example,DC=net
pwdLastSet: 130296931490000000
userAccountControl: 512
uSNChanged: 3719
distinguishedName: CN=Stefan Kania,CN=Users,DC=example,DC=net
# Referral
ref: ldap://example.net/CN=Configuration,DC=example,DC=net
# Referral
ref: ldap://example.net/DC=DomainDnsZones,DC=example,DC=net
57
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 58 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
# Referral
ref: ldap://example.net/DC=ForestDnsZones,DC=example,DC=net
# returned 4 records
# 1 entries
# 3 referrals
Listing 3.22 Zugriff direkt auf die Datenbank
Wie Sie hier sehen, können Sie direkt auf dem Server auf die Datenbankdatei zugreifen. Bei
diesem Zugriff wird keine Authentifizierung benötigt. Der Zugriff wird hier über die Datei-
systemrechte gesteuert. Zugriff auf die Datei hat aber nur der root, sodass ein normaler Be-
nutzer diese Möglichkeit nicht nutzen kann. Auch ein Zugriff über den lokalen LDAP-Socket,
wie in Listing 3.23 gezeigt, ist möglich. Auch hier kann dieser Zugriff nur vom Benutzer root
durchgeführt werden, da auch hier nur der root Rechte am Socket hat.
root@samba4-1:~# ldbsearch -H ldapi:///var/lib/samba/private/ldap_priv/\
ldapi "cn=Stefan Kania"
# record 1
dn: CN=Stefan Kania,CN=Users,DC=example,DC=net
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Stefan Kania
sn: Kania
givenName: Stefan
instanceType: 4
whenCreated: 20131123151229.0Z
whenChanged: 20131123151229.0Z
displayName: Stefan Kania
uSNCreated: 3717
name: Stefan Kania
objectGUID: 9308101e-e97e-458c-bbac-93c346cffc56
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
lastLogon: 0
primaryGroupID: 513
objectSid: S-1-5-21-1304111860-2806216092-3514381476-1104
accountExpires: 9223372036854775807
logonCount: 0
58
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 59 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile
sAMAccountName: Stefan
sAMAccountType: 805306368
userPrincipalName: [email protected]
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=example,DC=net
pwdLastSet: 130296931490000000
userAccountControl: 512
uSNChanged: 3719
distinguishedName: CN=Stefan Kania,CN=Users,DC=example,DC=net
# Referral
ref: ldap://example.net/CN=Configuration,DC=example,DC=net
# Referral
ref: ldap://example.net/DC=DomainDnsZones,DC=example,DC=net
# Referral
ref: ldap://example.net/DC=ForestDnsZones,DC=example,DC=net
# returned 4 records
# 1 entries
# 3 referrals
Listing 3.23 Zugriff auf den lokalen LDAP-Socket
Auch eine eingeschränkte Suche auf bestimmte Attribute ist möglich, wie Sie in Listing 3.24
sehen können:
root@samba4-1:~# ldbsearch -H ldapi:///var/lib/samba/private/ldap_priv/ldapi\
"cn=Stefan Kania" attr sn givenName
# record 1
dn: CN=Stefan Kania,CN=Users,DC=example,DC=net
sn: Kania
givenName: Stefan
# Referral
ref: ldap://example.net/CN=Configuration,DC=example,DC=net
# Referral
ref: ldap://example.net/DC=DomainDnsZones,DC=example,DC=net
# Referral
ref: ldap://example.net/DC=ForestDnsZones,DC=example,DC=net
# returned 4 records
59
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 60 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
# 1 entries
# 3 referrals
Listing 3.24 Eingeschränkte Suche
Ändern eines Objektes mit »ldbedit«
Mit dem Kommando ldbedit können Sie einzelne Objekte ändern und die Änderung wieder
im AD speichern. Für die Änderung wird der bei Ihnen im System eingestellte Standardeditor
verwendet. In Listing 3.25 sehen Sie den Aufruf von ldbedit:
root@samba4-1:~# ldbedit -H ldapi:///var/lib/samba/private/ldapi\
-Uadministrator sAMAccountName=stefan
Password for [EXAMPLE\administrator]:
# 0 adds 1 modifies 0 deletes
Listing 3.25 Ändern eines Objekts mittels »ldbedit«
Wenn Sie beim Editieren einen Fehler machen, wird die Änderung nicht gespeichert und Sie
bekommen eine Fehlermeldung, wie in Listing 3.26 zu sehen ist:
root@samba4-1:~# ldbedit -H ldapi:///var/lib/samba/private/ldapi\
-Uadministrator sAMAccountName=stefan
Password for [EXAMPLE\administrator]:
failed to modify CN=Stefan Kania,CN=Users,DC=example,DC=net \
- LDAP error 16 LDAP_NO_SUCH_ATTRIBUTE - \
<acl_modify: attribute 'ivenName' on\
entry 'CN=Stefan Kania,CN=Users,DC=example,DC=net'\
was not found in the schema!> <>
Listing 3.26 Fehlerbehandlung beim Editieren mit »ldbedit«
Ändern eines Objektes mit »ldbmodify«
Sie können einzelne Attribute eines oder mehrerer Objekte auch mithilfe des Komman-
dos ldbmodify und einer ldif-Datei ändern. Als Erstes erstellen Sie eine ldif-Datei wie in Lis-
ting 3.27:
dn: cn=ktom,cn=users,dc=example,dc=net
changetype: modify
replace: sn
sn: Tom
-
add: description
description: Ein Benutzer
Listing 3.27 Änderung eines Objektes mit »ldbmodify«
60
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 61 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile
Anschließend spielen Sie die Änderung, wie Sie in Listing 3.28 sehen können, ein:
root@samba4-1:~# ldbmodify -H ldapi:///var/lib/samba/private/ldapi\
-Uadministrator ktom.ldif
Password for [EXAMPLE\administrator]:
Modified 1 records successfully
Listing 3.28 Einspielen der Änderung
Wollen Sie ein weiteres Objekt mit derselben ldif-Datei ändern, können Sie dieses einfach
durch eine Leerzeile in die Datei eintragen. In Listing 3.29 sehen Sie ein Beispiel für eine
ldif-Datei mit mehreren Objekten:
dn: cn=ktom,cn=users,dc=example,dc=net
changetype: modify
replace: sn
sn: Tom
-
add: description
description: Ein Benutzer
dn: cn=Stefan Kania,cn=users,dc=example,dc=net
changetype: modify
replace: sn
sn: Stefan
-
add: description
description: Ein weiterer Benutzer
Listing 3.29 »ldif«-Datei zur Änderung mehrerer Objekte
Sie sehen hier, dass die Objekte immer durch eine Leerzeile getrennt sind und die einzelnen
Attribute durch eine Zeile, in der nur ein Minuszeichen steht.
In der Leerzeile zwischen den Objekten darf wirklich kein Zeichen stehen, auch kein Leerzei-
chen und kein Tabulator.
3.1.4 Verwendung von »ldapsearch«
Sie können sich alle Objekte auch von einem beliebigen Linux-Client aus auflisten lassen.
Dazu verwenden Sie das Kommando ldapsearch aus dem Paket ldap-utils. Nachdem Sie das
Paket installiert haben, passen Sie die Datei /etc/ldap/ldap.conf so wie in Listing 3.30 an:
61
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 62 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
BASE dc=example,dc=net
URI ldap://samba4-1.example.net
Listing 3.30 Anpassung der Datei »ldap.conf«
Anschließend können Sie mit ldapsearch das AD durchsuchen. Der Zugriff auf das AD ist
nur über einen strong-bind möglich, also dürfen Sie die Option -x auf keinen Fall setzen. Die
Filter, die Sie von der Verwendung unter openLDAP kennen, funktionieren aber auch hier. In
Listing 3.31 sehen Sie einen Zugriff mittels ldapsearch auf das AD:
root@lam:~# ldapsearch -D "cn=administrator,cn=users,dc=example,dc=net" \
"(cn=Stefan Kania)" -W -LLL
Enter LDAP Password:
dn: CN=Stefan Kania,CN=Users,DC=example,DC=net
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Stefan Kania
sn: Kania
givenName: Stefan
instanceType: 4
whenCreated: 20131123151229.0Z
whenChanged: 20131123151229.0Z
displayName: Stefan Kania
uSNCreated: 3717
name: Stefan Kania
objectGUID:: HhAIk37pjEW7rJPDRs/8Vg==
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
lastLogon: 0
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAA9Cq7TZx1Q6ekNHnRUAQAAA==
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: Stefan
sAMAccountType: 805306368
userPrincipalName: [email protected]
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=example,DC=net
pwdLastSet: 130296931490000000
userAccountControl: 512
62
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 63 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.2 Die »Remote Server Administration Tools« (RSAT)
uSNChanged: 3719
distinguishedName: CN=Stefan Kania,CN=Users,DC=example,DC=net
# refldap://example.net/CN=Configuration,DC=example,DC=net
# refldap://example.net/DC=DomainDnsZones,DC=example,DC=net
# refldap://example.net/DC=ForestDnsZones,DC=example,DC=net
Listing 3.31 Auflisten von Objekten mit »ldapsearch«
Wie Sie sehen, lassen sich sehr viele Aufgaben über die Kommandozeile erledigen. Aber
aufgrund der Komplexität der Konten sollten Sie besser eine der grafischen Möglichkeiten
wählen, wenn es darum geht, im täglichen Geschäft Benutzer zu verwalten. Um eine größere
Anzahl an Gruppen und Benutzern zu verwalten, ist das Kommando samba-tool aber sehr
gut geeignet.
3.2 Die »Remote Server Administration Tools« (RSAT)
Microsoft hat für die Verwaltung einer AD-Domäne Werkzeuge bereitgestellt, mit denen
Sie die Domäne von einer Windows-Workstation aus administrieren können. Sie benötigen
lediglich eine Windows 7-Professional-Version. Die Workstation muss Mitglied der Domäne
sein, die Sie von dort aus verwalten wollen. In diesem Teil der Benutzerverwaltung geht es
jetzt darum, die RSAT zu installieren und dann Gruppen und Benutzer über die RSAT zu
verwalten.
3.2.1 Einrichtung der »Remote Server Administration Tools« (RSAT)
Passen Sie den DNS-Server am Client an
Damit Sie den Client überhaupt erfolgreich in die Domäne aufnehmen können, müssen Sie
dafür sorgen, dass auf der Workstation in den Einstellungen des Netzwerks der DNS-Server
der neuen Domäne eingetragen ist. Ohne diesen Eintrag klappt der Beitritt zur Domäne nicht,
da der Client den Domaincontroller über DNS sucht.
Hierbei wird nicht nur der Name des Domaincontrollers über DNS gesucht, sondern auch die
Dienste Kerberos und LDAP.
Um Benutzer und Gruppen über die Windows Remote Server Administration Tools (RSAT)
verwalten zu können, müssen Sie mindestens einen Client mit Windows 7 Professional in
Ihrer Domäne haben. Aus diesem Grund nehmen Sie jetzt erst den Windows 7-Rechner in die
63
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 64 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Domäne auf. Melden Sie sich hierfür als lokaler Administrator an Ihrer Windows 7-Worksta-
tion an, klicken Sie anschließend auf Start, und klicken Sie dann mit der rechten Maustaste
auf Computer O Eigenschaften. Dort finden Sie die Schaltfläche Einstellungen ändern.
Durch einen Klick auf die Schaltfläche öffnet sich ein neues Fenster. In diesem Fenster kön-
nen Sie jetzt den NetBIOS-Namen und die Domänenzugehörigkeit ändern. Achten Sie darauf,
dass bei Vollständiger Computername der fqdn des Clients eingetragen ist.
Zum Beitritt zur Samba 4-Domäne klicken Sie auf die Schaltfläche Ändern.... In dem neuen
Fenster wählen Sie den Punkt Domäne aus und geben den Domänennamen an. Hier wird
der NetBIOS-Name der Domäne verlangt. Hier im Buch lautet er example. Klicken Sie anschlie-
ßend auf die Schaltfläche OK. Es erscheint ein Fenster, in dem Sie den Benutzernamen, in
diesem Fall administrator, und dessen Passwort eingeben müssen.
In Abbildung 3.1 sehen Sie alle Fenster für den Vorgang.
Abbildung 3.1 Client in die Domäne aufnehmen
Nach einem Klick auf die Schaltfläche OK dauert es eine Weile, bis Sie die Meldung Willkommen
in der Domäne example erhalten, so wie Sie es in Abbildung 3.2 sehen.
64
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 65 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.2 Die »Remote Server Administration Tools« (RSAT)
Abbildung 3.2 Erfolgreiche Aufnahme des Clients in die Domäne
Um die Einstellung wirksam werden zu lassen, müssen Sie Windows neu starten. Nach dem
Neustart können Sie sich jetzt als Domänenadministrator anmelden, so wie Sie es in Abbil-
dung 3.3 sehen.
Abbildung 3.3 Erste Anmeldung
65
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 66 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Im Kapitel 7 wird auf die Verwaltung von Clients in der Domäne noch genauer eingegangen.
Wenn Sie sich als administrator anmelden, müssen Sie immer den Domänennamen voran-
stellen, da sonst eine Anmeldung als lokaler Administrator durchgeführt wird. Wenn Sie sich
als Benutzer der Domäne anmelden, reicht der Benutzername.
Nachdem Sie sich als Domänenadministrator angemeldet haben, laden Sie die RSAT von der
URL http://www.microsoft.com/de-de/download/details.aspx?id=7887 herunter und installie-
ren diese. Bei den RSAT handelt es sich nicht um eine zusätzliche Software, sondern die RSAT
werden wie ein Update behandelt und installiert.
Nach der Installation können Sie die RSAT nicht sofort nutzen, Sie müssen sie erst aktivieren.
Öffnen Sie hierfür die Systemsteuerung, und klicken Sie dann auf Programme und Funk-
tionen. Dort klicken Sie dann auf Windows-Funktionen aktivieren oder deaktivieren.
Es öffnet sich ein neues Fenster, in dem Sie jetzt die RSAT über den Unterpunkt Remote-
server-Verwaltungstools aktivieren. Sie müssen alle Unterpunkte öffnen und dann alle
gewünschten Funktionen separat aktivieren, wie Sie das in Abbildung 3.4 sehen.
Abbildung 3.4 Konfiguration der »RSAT«
Anschließend klicken Sie auf OK. Jetzt werden Die RSAT im System aktiviert. Jetzt können Sie
über Start O Alle Programme O Verwaltung auf die RSAT zugreifen.
66
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 67 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.3 Benutzer- und Gruppenverwaltung mit dem »LAM«
3.2.2 Benutzer- und Gruppenverwaltung mit den »RSAT«
Wenn Sie das Tool Active Directory-Benutzer und -Computer starten, können Sie die von Ihnen
erstellte Domäne sehen und Benutzer und Gruppen verwalten.
Die vorher über die Kommandozeile erzeugten Benutzer und Gruppen sehen Sie im unteren
Teil der Abbildung markiert. Wenn Sie einen neuen Benutzer, eine neue Gruppe oder einen
neuen Host anlegen wollen, führen Sie einen Rechtsklick auf die rechte Seite des Fensters aus.
Dann öffnet sich ein Kontextmenü. Dort klicken Sie auf Neu, und es öffnet sich ein neues
Menü, in dem Sie dann das entsprechende Objekt auswählen können. In Abbildung 3.5 sehen
Sie als Beispiel das Anlegen eines neuen Benutzers.
Abbildung 3.5 Anlegen eines neuen Benutzers
So können Sie jetzt Schritt für Schritt alle Benutzer und Gruppen über Ihren Windows-Client
anlegen und verwalten. Mehr zum Aufbau einer Active Directory-Struktur finden Sie im
Workshop in Abschnitt 18.7.
3.3 Benutzer- und Gruppenverwaltung mit dem »LAM«
Der ein oder andere von Ihnen kennt den LDAP-Account-Manager (LAM) bereits als Werkzeug
für den openLDAP. Seit der Version 4.2 ist der LAM auch in der Lage, Samba 4 zu verwalten.
67
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 68 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Da mit dem LAM eine Möglichkeit besteht, den Samba 4 auch über einen Webzugriff zu
verwalten, soll in diesem Abschnitt etwas genauer auf den LAM eingegangen werden.
3.3.1 Installation des LAM
Als Erstes müssen Sie den LAM installieren. Dazu laden Sie sich die aktuelle Version des LAM
von der Webseite https://www.ldap-account-manager.org/lamcms/releases herunter.
Falls Sie die Heimatverzeichnisse der Benutzer automatisch auf einem Dateiserver anlegen
wollen, wenn Sie einen Benutzer anlegen, dann müssen Sie zusätzlich das Paket lamdaemon
mit herunterladen und installieren.
Installieren Sie die Pakete mit dem Kommando dpkg. Bei der Installation kommt es zu
nicht aufgelösten Abhängigkeiten. Diese können Sie mit apt-get -f install auflösen. In
Listing 3.32 sehen Sie die Installation:
root@lam:~# dpkg -i ldap-account-manager_4.3-1_all.deb
Vormals nicht ausgewähltes Paket ldap-account-manager wird gewählt.
(Lese Datenbank ... 40385 Dateien und Verzeichnisse sind derzeit installiert.)
Entpacken von ldap-account-manager (aus ldap-account-manager_4.3-1_all.deb)
dpkg: Abhängigkeitsprobleme verhindern Konfiguration von ldap-account-manager:
ldap-account-manager hängt ab von php5 (>= 5.2.4); aber:
Paket php5 ist nicht installiert.
ldap-account-manager hängt ab von php5-ldap; aber:
Paket php5-ldap ist nicht installiert.
ldap-account-manager hängt ab von php5-gd; aber:
Paket php5-gd ist nicht installiert.
ldap-account-manager hängt ab von apache2 | httpd; aber:
Paket apache2 ist nicht installiert.
Paket httpd ist nicht installiert.
ldap-account-manager hängt ab von php-fpdf (>= 1.7); aber:
Paket php-fpdf ist nicht installiert.
dpkg: Fehler beim Bearbeiten von ldap-account-manager (--install):
Abhängigkeitsprobleme - verbleibt unkonfiguriert
Fehler traten auf beim Bearbeiten von:
ldap-account-manager
root@lam:~# apt-get -f install
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Abhängigkeiten werden korrigiert ... Fertig
68
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 69 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.3 Benutzer- und Gruppenverwaltung mit dem »LAM«
Die folgenden zusätzlichen Pakete werden installiert:
apache2-mpm-prefork apache2-utils apache2.2-bin apache2.2-common\
fontconfig-config libapache2-mod-php5 libapr1 libaprutil1\
libaprutil1-dbd-sqlite3 libaprutil1-ldap libfontconfig1\
libgd2-xpm libjpeg8 libonig2 libpng12-0 libqdbm14\
php-fpdf php5 php5-cli php5-common php5-gd php5-ldap\
ssl-cert ttf-dejavu-core
Vorgeschlagene Pakete:
apache2-doc apache2-suexec apache2-suexec-custom php-pear libgd-tools\
ttf2pt1 openssl-blacklist
Die folgenden NEUEN Pakete werden installiert:
apache2-mpm-prefork apache2-utils apache2.2-bin apache2.2-common\
fontconfig-config libapache2-mod-php5 libapr1 libaprutil1\
libaprutil1-dbd-sqlite3 libaprutil1-ldap libfontconfig1\
libgd2-xpm libjpeg8 libonig2 libpng12-0 libqdbm14\
php-fpdf php5 php5-cli php5-common php5-gd php5-ldap\
ssl-cert ttf-dejavu-core
0 aktualisiert, 24 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
1 nicht vollständig installiert oder entfernt.
Es müssen 9.849 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 30,1 MB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren [J/n]?
.
.
.
Trigger für libapache2-mod-php5 werden verarbeitet ...
[ ok ] Reloading web server config: apache2.
ldap-account-manager (4.3-1) wird eingerichtet ...
[ ok ] Reloading web server config: apache2.
Listing 3.32 Installation des »LAM«
Nach der Installation der Abhängigkeiten können Sie mit dpkg -l | grep ldap-account prü-
fen, ob der LAM vollständig installiert wurde.
Nach der Installation können Sie den LAM jetzt über einen Browser erreichen. Geben Sie
dafür in Ihrem Browser die URL http://<ip-webserver/lam> ein.
Daraufhin erhalten Sie das Fenster aus Abbildung 3.6.
69
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 70 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Abbildung 3.6 Erster Zugriff auf den »LAM«
3.3.2 Konfiguration des »LAM«
Bevor Sie mit dem LAM Ihren Samba 4 administrieren können, müssen Sie den LAM erst
konfigurieren. Klicken Sie dazu auf LAM configuration in der oberen rechten Ecke des
Startbildschirms. Sie erhalten daraufhin eine neue Ansicht. Dort wählen Sie den Punkt Edit
general settings. Bei der Abfrage nach dem Passwort geben Sie das Standardpasswort lam
ein und klicken auf OK.
Auf der folgenden Seite können Sie Einstellungen für den LAM vornehmen. Alle Einstellun-
gen zu den Passwörtern betreffen nur die Anmeldung am LAM und haben nichts mit den
Einstellungen der Benutzer zu tun.
An dieser Stelle reicht es, wenn Sie erst einmal das Masterpasswort ändern und dann spei-
chern, so wie es die Abbildung 3.7 zeigt.
Für die Verwendung von ldaps anstelle von ldap können Sie hier auch schon das Zertifikat
von Ihren Domaincontroller importieren. Geben Sie den fqdn ihres Server an und klicken Sie
anschließend auf Import from Server.
70
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 71 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.3 Benutzer- und Gruppenverwaltung mit dem »LAM«
Abbildung 3.7 Setzen des Masterpassworts
Anschließend landen Sie wieder auf der Anmeldeseite des LAM. Klicken Sie hier wieder auf
LAM configuration. Jetzt geht es darum, ein Profil für Ihren Samba4-Server zu erstellen. Sie
können später über diesen Punkt weitere Profile erstellen, um andere LDAP- oder AD-Server
zu verwalten.
Zwei verschiedene Accounttypen
Der LAM unterscheidet zwischen dem Hauptbenutzer, der Profile anlegen kann, und den Pro-
filverwaltern, die nur das Profil verwalten können. Hierfür haben sie vom Hauptbenutzer das
Passwort bekommen. Deshalb benötigen Sie nur eine Instanz des LAM um alle Ihre Server zu
verwalten.
Klicken Sie jetzt auf Edit server profiles. Um ein neues Profil für Ihren Samba4 zu erstellen,
klicken Sie auf Manage server profiles. Daraufhin erhalten Sie ein neues Fenster (siehe
71
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 72 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Abbildung 3.8). Tragen Sie dort den Namen für Ihr Profil ein, und vergeben Sie ein Passwort,
um später das Profil verwalten zu können.
Abbildung 3.8 Erstellen eines Profils
Durch Anklicken der Schaltfläche Add fügen Sie ein neues Profil zum LAM hinzu. Um das
Profil auch anlegen zu können, werden Sie noch nach dem Masterpasswort gefragt. Danach
gelangen Sie automatisch in das neu erstellte Profil.
In dem Feld Servereinstellungen tragen Sie die Werte für Ihren Samba-Server ein. Die
folgenden Werte müssen Sie hier eingeben:
E Serveradresse
Geben Sie hier im Moment erst die IP-Adresse Ihres Samba4-Servers ein – zusammen mit
dem Port 386 und dem Protokoll ldap. Später soll diese Einstellung dann noch auf den
DNS-Namen und das Protokoll ldaps geändert werden. Dazu muss der Server, auf dem der
LAM läuft, aber erst den Namen des AD-Servers über DNS auflösen können. Zusätzlich
müssen Sie noch Konfigurationen für den LAM hinsichtlich des Zertifikats vornehmen.
E TLS aktivieren
Setzen Sie diesen Parameter unbedingt auf nein. Da später noch auf das Protokoll ldaps
72
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 73 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.3 Benutzer- und Gruppenverwaltung mit dem »LAM«
umgestellt werden soll, würde das zu einem Konflikt führen, wenn Sie hier ja auswählen
würden.
E Baumansicht
An dieser Stelle müssen Sie die oberste Ebene Ihres ADs angeben. Der Name ist identisch
mit dem DNS-Domänennamen. Im Buch ist es dc=example,dc=net.
E LDAP-Suchlimit
Diesen Wert müssen Sie nur ändern, wenn durch zu viele Suchergebnisse die Netzwer-
klast zu stark ansteigt. Ein Wert ist hier immer sehr stark abhängig von Ihrer Umgebung
und der Anzahl der Objekte sowie von der Menge der Zugriffe auf den AD durch den LAM.
Ein Aussage über das »Wann und wie viel« ist hier somit nicht möglich, das müssen Sie
immer in Ihrer Umgebung testen.
In Abbildung 3.9 sehen Sie eine Zusammenfassung der Servereinstellungen.
Abbildung 3.9 Zusammenfassung der »Servereinstellungen«
Bei den Spracheinstellungen können Sie die spätere Anzeigesprache für den LAM aus-
wählen. Den Abschnitt Lamdaemon-Einstellungen können Sie im Moment überspringen;
diese Parameter werden erst relevant, wenn Sie später den lamdaemon installieren und kon-
figurieren wollen. Wichtig für die momentane Konfiguration ist nur noch der Abschnitt
Sicherheitseinstellungen. An dieser Stelle legen Sie fest, wer sich am LAM anmelden
kann und wie die Liste der gültigen Benutzer erstellt und verwaltet wird.
Für die Verwaltung stehen Ihnen zwei Methoden zur Verfügung: zum einen über eine Feste
Liste und zum anderen LDAP-Suche. Bei Feste Liste geben Sie jeden Benutzer aus dem AD
einzeln an, der auf den LAM zugreifen darf. Im Gegensatz dazu können alle Benutzer, die
über eine LDAP-Suche ab einem bestimmten Punkt im AD gefunden werden, sich am LAM
anmelden und administrativ tätig werden.
Natürlich erhalten die Benutzer über den LAM keine zusätzlichen Rechte im AD, sodass die
Benutzer nur diejenigen Objekte administrieren dürfen, auf die sie auch Rechte haben. In
Abbildung 3.10 sehen Sie die Einträge für eine Feste Liste.
73
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 74 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Abbildung 3.10 Login-Methode »Feste Liste«
In Abbildung 3.11 sehen Sie die Einträge für eine LDAP-Suche.
Abbildung 3.11 »Login-Methode« »LDAP-Suche«
Welche Methode Sie wählen, ist hier Ihnen überlassen. Anfangs kann nur der Domainadmi-
nistrator zugreifen, der bei der Konfiguration des AD eingerichtet wurde. Sie müssen also
auf jeden Fall sicherstellen, dass dieser sich auch anmelden kann.
Nachdem Sie den Bereich Sicherheitseinstellungen ausgefüllt haben, klicken Sie oben
auf den Karteireiter Accounttypen. Die Standardeinstellungen beziehen sich hier alle auf
eine Kombination von openLDAP und Samba 3. Ändern Sie die Felder Benutzer, Gruppen
und Hosts wie folgt:
E Benutzer
Als LDAP-Suffix setzen Sie hier cn=users,dc=example,dc=net und ersetzen die Liste der
Attribute durch die Werte #cn;#Name;#sn;#DisplayName.
E Gruppen
Auch hier tragen Sie das LDAP-Suffix cn=users,dc=example,dc=net ein, und ersetzen Sie
die Liste der Attribute durch die Werte #cn;#description;#member.
E Hosts
Die Hosts in Ihrer Domäne liegen in einem anderen Container. Tragen Sie hierfür das
LDAP-Suffix cn=computers,dc=example,dc=net ein, und ersetzen Sie die Liste der Attribute
durch die Werte #cn;#description.
74
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 75 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.3 Benutzer- und Gruppenverwaltung mit dem »LAM«
Accounttyp »Samba-Domäne« löschen
Löschen Sie unbedingt den Accounttyp Samba-Domänen, da dieser nur für Samba 3 benötigt
wird.
Nach allen Änderungen sehen alle Einträge so aus wie in Abbildung 3.12.
Abbildung 3.12 Accounttypen-Einstellung
Anschließend klicken Sie oben auf den Karteireiter Module. Hier müssen Sie jetzt die zu
verwendenden Schemata für die Objekte auswählen. Auch hier sehen die Standardeinstel-
lungen die Verwendung von openLDAP und Samba3 vor.
Hier müssen Sie alle Objektklassen bei Benutzer, Gruppen und Hosts entfernen und nur noch
die entsprechende Windows-Objektklasse auswählen, so wie Sie es in Abbildung 3.13 sehen.
75
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 76 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Abbildung 3.13 Modul-Einstellung
Lassen Sie sich bei der Änderung der Listen der Schemata nicht durch die Fehlermeldungen
des LAM verwirren. Die Fehler tauchen nur deshalb auf, weil durch das Entfernen eines oder
aller Schemata die Abhängigkeiten der Schemata nicht mehr stimmen.
Jetzt können Sie am unteren Ende der Eingabemaske auf Speichern klicken, um das Profil
zu speichern. Sie gelangen dann automatisch wieder auf die Anmeldemaske des Profils. Am
oberen Rand der Maske sehen Sie die Meldung Ihre Einstellungen wurden erfolgreich
gespeichert.
Damit ist der erste Schritt der Konfiguration des LAM abgeschlossen. Jetzt müssen Sie noch
die Datei /etc/ldap/ldap.conf anpassen, damit der LAM auch den LDAP Ihres ADs erreichen
kann.
Achten Sie auf die Namensauflösung
Sorgen Sie vorher dafür, dass der Webserver, auf dem der LAM läuft, auch den Domaincontrol-
ler per DNS auflösen kann.
76
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 77 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.3 Benutzer- und Gruppenverwaltung mit dem »LAM«
In diesem Schritt wird auch gleich die Vorbereitung getroffen, um später auch mittels ldaps
auf den Domaincontroller zugreifen zu können. In Listing 3.33 sehen Sie den Inhalt der Datei
ldap.conf:
#TLS_CACERT /etc/ssl/certs/ca-certificates.crt
BASE dc=example,dc=net
URI ldap://samba4-1.example.net
TLS_REQCERT never
Listing 3.33 Einstellungen in der »ldap.conf«
3.3.3 Arbeiten mit dem LAM
Nachdem Sie diese Einträge vorgenommen haben, können Sie sich jetzt das erste Mal am
LAM mit Ihrem Domainadministrator anmelden. Wenn die Einstellung über das Protokoll
ldap erfolgreich war, sollten Sie jetzt die Einstellung in Ihrem Profil auf das Protokoll ldaps
umstellen, da sonst später keine Passwörter der Benutzer verändert werden können. Ge-
hen Sie dafür wieder in die Profileinstellung des LAM, und ändern Sie die Serveradresse
in den Allgemeinen Einstellungen im Unterpunkt Servereinstellungen auf die URL
ldaps://samba4-1.example.net:636. In Abbildung 3.14 sehen Sie die Änderung.
Abbildung 3.14 Umstellung auf »ldaps«
Jetzt findet der Zugriff vom LAM auf Ihren Domaincontroller nur noch verschlüsselt statt.
Jetzt haben Sie den LAM so weit, dass Sie die ersten Benutzer und Gruppen anlegen können.
Denken Sie daran, dass der LAM noch nicht in der Lage ist, die Heimatverzeichnisse der
neuen Benutzer anzulegen. Um die Heimatverzeichnisse auch gleich mit anzulegen, muss
unbedingt der lamdaemon installiert und konfiguriert werden. Die Installation und Konfi-
guration ist aber nicht Bestandteil dieses Buches.
In Abbildung 3.15 sehen Sie die Übersichtsseite mit den drei Karteireitern Benutzer, Grup-
pen und Hosts.
77
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 78 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Abbildung 3.15 Übersichtsseite des »LAM«
Unter den einzelnen Karteireitern können Sie die verschiedenen Objekttypen verwalten. In
Abbildung 3.16 sehen Sie ein Beispiel für das Anlegen eines neuen Benutzers.
Abbildung 3.16 Anlegen eines neuen Benutzers mit dem »LAM«
78
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 79 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3
3.3 Benutzer- und Gruppenverwaltung mit dem »LAM«
Nach dem Sie alle Einträge, die Sie benötigen, angepasst haben (inklusive des Passworts),
klicken Sie oben links auf die Schaltfläche Speichern. Wenn Sie keine weiteren Benutzer
anlegen wollen, dann können Sie wieder zurück auf die Übersichtsseite gehen und sehen
dort Ihren neuen Benutzer.
Alle Benutzer können Sie hier auch anpassen, indem Sie auf das Bleistiftsymbol neben dem
Benutzernamen klicken.
Eine sehr gute Funktion des LAM ist die Baumansicht. Über die Schaltfläche Baumansicht
am oberen Rand kommen Sie in diese Ansicht. Leider gibt es hier Probleme mit der Anzeige,
die Baumansicht zeigt nur die oberste Ebene Ihres Baumes.
Das Problem ist hier nicht der LAM, sondern die verwendete PHP-Version.
Es gibt eine Möglichkeit, diesen Fehler zu umgehen. Wenn Sie auf die Baumansicht und an-
schließend auf Suche klicken und dann den Container Users wie in Abbildung 3.17 angeben,
dann erhalten Sie den Container in der Baumansicht angezeigt. Diesen Vorgang können Sie
mit allen Containern durchführen.
Abbildung 3.17 Workaround für die »Baumansicht«
Anschließend erhalten Sie eine Liste aller Objekte, die in der Organisationseinheit cn=Users
enthalten sind. Klicken Sie auf cn=Users,dc=example,dc=net. Jetzt erscheint der Container
auf der linken Seite, und Sie können alle Objekte in dem Container sehen und auf diese
zugreifen (siehe Abbildung 3.18).
Leider funktioniert dieser Workaround immer nur für den Container, den Sie über die Suche
im LAM gesucht haben. Wollen Sie die Baumansicht für andere Container als den Container
cn=Users einsehen, müssen Sie nach jeden Container einzeln suchen. So haben Sie aber die
Möglichkeit, die Baumansicht zu nutzen, auch wenn Sie nicht das Recht haben, den Webser-
ver selbst zu konfigurieren.
79
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 80 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: benutzerverwaltung/benutzerverwaltung , Aktueller Job: samba4
3 Die Benutzerverwaltung
Abbildung 3.18 Die Baumansicht nach dem Workaround im »LAM«
Wenn Sie direkte Änderungen am Webserver vornehmen möchten, haben Sie noch eine
andere Möglichkeit, um den Fehler zu umgehen: Sie können die Templatedateien än-
dern, über die das Verhalten des LAM gesteuert wird. Es handelt sich dabei um die Datei
/usr/share/ldap-account-manager/templates/3rdParty/pla/lib/ds_myldap.php. Öffnen Sie
die Templatedatei, und gehen Sie zur Zeile 189. Entfernen Sie dort am Anfang der Zeile die
Kommentarzeichen ldap_set_option($resource,LDAP_OPT_REFERRALS,0);.
Wichtig ist hier, dass der Wert auf 0 gesetzt ist. Nach einen Neustart des Apache und einer
erneuten Anmeldung sehen Sie jetzt die Baumstruktur so wie in Abbildung 3.19.
Ab der LAM-Version 4.5 soll es einen Parameter in der Konfiguration des LAM geben, mit
dem Sie diese Änderung durchführen können, für den Fall, dass Sie die Baumansicht nicht
angezeigt bekommen.
Deshalb hier noch mal der Hinweis: Installieren Sie auf jeden Fall immer die aktuellste Ver-
sion des LAM.
80
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 81 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: freigaben/freigaben , Aktueller Job: samba4
3
3.3 Benutzer- und Gruppenverwaltung mit dem »LAM«
Abbildung 3.19 Die Baumansicht
Der große Vorteil der Baumansicht ist der, dass Sie hier auch Attribute ergänzen können, die
Sie in der Verwaltung auf der Übersichtsseite nicht sehen.
Mit dem LDAP Account Manager haben Sie ein Werkzeug, mit dem Sie, im Gegensatz zu
den RSAT, die Verwaltung Ihrer Domäne auch browserbasiert durchführen können. Eine
sehr gute Anleitung zur Einrichtung des LDAP Account Managers finden Sie auch unter
https://www.ldap-account-manager.org/static/doc/manual/ch03s02.html.
81
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 153 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
Kapitel 7
Verwaltung von Clients in der Domäne
Bis zu diesem Zeitpunkt haben Sie lediglich einen Domaincontroller in Ihrem Netz-
werk. Sie haben zwar schon Benutzer und Gruppen, aber diese können sich noch
nicht an ihren Arbeitsplätzen anmelden. Jetzt geht es darum, sowohl Windows-
als auch Linux-Clients in die Domäne aufzunehmen. Ab diesem Zeitpunkt wird
auch das Thema ID-Mapping für die Linux-Benutzer und -Gruppen sehr wichtig.
Wie können Sie den Zugriff auf die Samba-Freigaben für Linux-Clients realisieren?
Auch das ist ein Thema in diesem Kapitel. Im letzten Teil dieses Kapitels geht es
darum, den Linux-Client nicht mehr über winbind an die Domäne einzubinden,
sondern den »System Security Service Daemon« zu verwenden.
Nachdem Sie den erste Domaincontroller installiert und konfiguriert haben, haben Sie jetzt
die Möglichkeit, mit den ersten Benutzern, Gruppen und Freigaben von einem Client in der
Domäne die Anmeldung und die Zugriffe zu testen.
Sie können sowohl von einem Windows-Client als auch von einem Linux-Client aus die
Anmeldung und die Zugriffe durchführen.
In diesem Kapitel geht es darum, Windows-Clients und Linux-Clients in die Domäne einzu-
binden.
7.1 Hinzufügen eines Windows-Clients in die Domäne
Da Samba 4 genau wie ein Windows-Server mit AD reagiert, ändert sich beim Hinzufügen
einer Workstation zur Domäne nichts im Vergleich zu einem Windows-Server. Sie müssen
auch nicht dafür sorgen, dass bereits ein Konto für den Client in der Domäne existiert, oder
dass Sie ein Skript zum Anlegen eines Kontos in die Datei smb.conf eingetragen haben.
Prüfen Sie die DNS-Einstellungen am Client
Bevor Sie aber die Maschine in die Domäne aufnehmen, prüfen Sie in den IP-Einstellungen
des Systems, ob der DNS-Server der Domäne zur Namensauflösung eingetragen ist.
Wenn das nicht der Fall ist, kann beim Aufnehmen des Clients in die Domäne der Domaincon-
troller nicht gefunden werden und das Aufnehmen in die Domäne schlägt fehl.
153
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 154 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
Melden Sie sich als lokaler Administrator an Ihrer Windows 7-Workstation an, klicken Sie
anschließend auf Start, und klicken Sie dann mit der rechten Maustaste auf Computer O
Eigenschaften. An der Stelle finden Sie die Schaltfläche Einstellungen ändern. Durch
einen Klick auf die Schaltfläche öffnet sich ein neues Fenster. In diesem Fenster können Sie
den NetBIOS-Namen und die Zugehörigkeit zur Domäne ändern. Achten Sie darauf, dass bei
Vollständiger Computername: der FQDN des Clients eingetragen ist.
Zum Beitritt zur Samba 4-Domäne klicken Sie auf die Schaltfläche Ändern... In dem neuen
Fenster wählen Sie den Punkt Domäne aus und geben den Domänennamen an. Hier wird der
NetBIOS-Name der Domäne verlangt. Im Buch lautet dieser example. Klicken Sie anschließend
auf die Schaltfläche OK. Es erscheint ein Fenster, in dem Sie den Benutzernamen, in diesem
Fall administrator, und dessen Passwort eingeben müssen.
In Abbildung 7.1 sehen Sie alle Fenster für den Vorgang.
Abbildung 7.1 Client in die Domäne aufnehmen
Nach einem Klick auf die Schaltfläche OK dauert es eine Weile, dann Sie erhalten die Meldung
Willkommen in der Domäne example, so wie Sie es in Abbildung 7.2 sehen.
154
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 155 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
7.1 Hinzufügen eines Windows-Clients in die Domäne
Abbildung 7.2 Erfolgreiche Aufnahme des Clients in die Domäne
Sollte das Hinzufügen zur Domäne nicht funktionieren, weil Windows den Domaincontrol-
ler nicht finden kann, prüfen Sie, ob der richtige DNS-Server in der Netzwerkkonfiguration
des Clients eingestellt ist. Hier muss ein DNS-Server der Domäne eingetragen sein.
Um die Einstellung wirksam werden zu lassen, müssen Sie Windows neu starten. Nach dem
Neustart haben Sie jetzt die Möglichkeit, sich in der Domäne anzumelden. Was passiert noch
auf dem Client?
Beim Hinzufügen eines Clients werden außer an den Domäneninformationen noch an zwei
lokalen Gruppen der Maschine Änderungen vorgenommen. Starten Sie den Manager für
lokale Gruppen und Benutzer lusrmgr auf dem Windows-System, und klicken Sie anschlie-
ßend auf Gruppen und dann auf die Gruppe Administratoren. Dort werden Sie, neben
dem lokalen Administrator noch einen weiteren Eintrag sehen. Dieser Eintrag wird eventu-
ell anfangs nur mit dem SID angezeigt. An dem RID mit dem Wert 512 am Ende des SID sehen
Sie, dass es sich dabei um die Gruppe der Domänenadmins aus der AD-Domäne handelt.
Die zweite Gruppe, die verändert wird, ist die lokale Gruppe Benutzer. Hier wird die Gruppe
der Domänenbenutzer beim Domänenbeitritt hinzugefügt. Auch dort wird eventuell nur der
155
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 156 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
SID angezeigt. Damit ist die Aufnahme einer Windows-Workstation in die Domäne abge-
schlossen.
Über diesen Weg können Sie jetzt alle Arbeitsstationen zur Domäne hinzufügen. Wenn Sie
eine Workstation zur Domäne hinzugefügt haben, können Sie die Workstation hinterher
auch im AD finden. Alle Ihre Workstations werden automatisch im AD angelegt. Wo Sie Ihre
Workstations finden, sehen Sie in Abbildung 7.3:
Abbildung 7.3 Erfolgreiche Aufnahme des Clients in die Domäne
Über die Eigenschaften der Workstation können Sie diese jetzt auch an einen anderen Stand-
ort im AD verschieben, wenn Sie mit verschiedenen Standorten arbeiten. Wollen Sie Grup-
penrichtlinien für die Clients verwenden, müssen Sie das Objekt für diesen Client in die
entsprechende Organisationseinheit verschieben.
7.2 Hinzufügen eines Linux-Clients zur Domäne
Ein Linux-Client lässt sich nicht so fest in eine AD-Domäne einbinden wie ein Windows-Cli-
ent, aber der Linux-Client kann die Authentifizierung auch über AD durchführen. Dazu müs-
sen Sie lediglich PAM und den Kerberos-Client konfigurieren, damit der Linux-Client die Be-
nutzer und Gruppen aus dem AD lesen und zur Authentifizierung nutzen kann. In diesem
Abschnitt geht es darum, die Authentifizierung des Linux-Clients zu konfigurieren.
Für den Zugriff auf das AD müssen Sie den Dienst winbind installieren und dafür sorgen,
dass PAM die Authentifizierung über winbind durchführen kann. Für die Authentifizierung
über PAM müssen Sie lediglich das entsprechende PAM-Modul installieren. Die Einträge zur
Konfiguration in den entsprechenden PAM-Dateien werden automatisch während der In-
156
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 157 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
7.2 Hinzufügen eines Linux-Clients zur Domäne
stallation erzeugt. Damit Sie auch die richtigen, für Samba 4 benötigten Pakete installieren,
müssen Sie als Erstes wieder die Quellen der Firma SerNet in Ihre Datei /etc/apt/sources.list
eintragen. In Listing 7.1 sehen Sie die entsprechenden Einträge:
deb https://user:[email protected]/packages/samba/4.1/debian wheezy main
deb-src https://user:[email protected]/packages/samba/4.1/debian wheezy main
Listing 7.1 Einträge für die Repositories
Anschließend installieren Sie und den Public Key der Firma Sernet so wie in Listing 7.2:
root@linux-client:~# wget http://ftp.sernet.de/pub/sernet-samba-keyring_1.4_all.deb
--2014-02-03 12:02:09-- http://ftp.sernet.de/pub/sernet-samba-keyring_1.4_all.deb
Auflösen des Hostnamen »ftp.sernet.de (ftp.sernet.de)«... 193.175.80.229
Verbindungsaufbau zu ftp.sernet.de (ftp.sernet.de)|193.175.80.229|:80... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 3498 (3,4K) [application/x-debian-package]
In »»sernet-samba-keyring_1.4_all.deb«« speichern.
100%[====================================================>] 3.498 --.-K/s in 0s
2014-02-03 12:02:09 (41,3 MB/s) - »»sernet-samba-keyring_1.4_all.deb««\
gespeichert [3498/3498]
root@linux-client:~# dpkg -i sernet-samba-keyring_1.4_all.deb
Vormals nicht ausgewähltes Paket sernet-samba-keyring wird gewählt.
(Lese Datenbank ... 143307 Dateien und Verzeichnisse sind derzeit installiert.)
Entpacken von sernet-samba-keyring (aus sernet-samba-keyring_1.4_all.deb) ...
sernet-samba-keyring (1.4) wird eingerichtet ...
OK
Listing 7.2 Installation des Public Key
Führen Sie dann das Kommando apt-get update aus. Anschießend können Sie das Paket
sernet-samba-winbind , das Paket sernet-samba und das Paket libpam-heimdal installieren. Das
Paket sernet-samba benötigen Sie, da sich in dem Paket die benötigten Programme befinden,
um zum Beispiel der Domäne beitreten zu können. In Listing 7.3 sehen Sie die Installation
der Pakete und deren Abhängigkeiten:
root@linux-client:~# apt-get install sernet-samba-winbind sernet-samba libpam-heimdal
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Die folgenden zusätzlichen Pakete werden installiert:
dbus libavahi-client3 libavahi-common-data libavahi-common3 libcups2 libdbus-1-3\
libdm0 libfam0 libreadline5 libsystemd-login0 sernet-samba-client \
157
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 158 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
sernet-samba-common sernet-samba-libs\
sernet-samba-libsmbclient0 xfsdump xfsprogs
Vorgeschlagene Pakete:
dbus-x11 cups-common fam sernet-samba-ad attr quota
Die folgenden NEUEN Pakete werden installiert:
dbus libavahi-client3 libavahi-common-data libavahi-common3 libcups2 libdbus-1-3\
libdm0 libfam0 libpam-heimdal libreadline5 libsystemd-login0 sernet-samba\
sernet-samba-client sernet-samba-common\
sernet-samba-libs sernet-samba-libsmbclient0 sernet-samba-winbind xfsdump xfsprogs
0 aktualisiert, 19 neu installiert, 0 zu entfernen und 73 nicht aktualisiert.
Es müssen noch 9.847 kB von 12,7 MB an Archiven heruntergeladen werden.
Nach dieser Operation werden 37,2 MB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren [J/n]?
Listing 7.3 Installation der Pakete auf dem Client
Während der Installation werden Sie aufgefordert, Informationen für die Kerboros-Konfi-
guration anzugeben. Diese Schritte können Sie einfach überspringen, da damit die Datei
/etc/krb5.conf erstellt wird, die Sie im Anschluss auf jeden Fall durch die Datei aus der Domä-
ne ersetzen müssen. Kopieren Sie im Anschluss an die Installation die Datei /etc/krb5.conf
von einem Ihrer Domaincontroller auf den Client, da diese Datei auf allen Systemen in der
Domäne identisch sein muss.
Im nächsten Schritt muss dann der winbind noch konfiguriert werden. Dazu müssen Sie die
Datei /etc/samba/smb.conf erstellen, so wie Sie es in Listing 7.4 sehen können:
[global]
workgroup = example
realm = EXAMPLE.NET
security = ADS
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind refresh tickets = Yes
template shell = /bin/bash
idmap config * : range = 1000000 - 1999999
idmap config EXAMPLE : backend = rid
idmap config EXAMPLE : range = 1000000 - 1999999
Listing 7.4 Konfiguration des winbind
158
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 159 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
7.2 Hinzufügen eines Linux-Clients zur Domäne
Die Datei ist zu diesem Zeitpunkt nicht vorhanden; Sie müssen die Datei neu anlegen. Diese
Einstellungen sind auf allen Linux-Clients in Ihrer Domäne identisch.
Die Parameter haben die folgenden Bedeutungen:
E workgroup = example
Hier wird der NetBIOS-Name der Domäne angegeben. Auch als Mitglied im AD heißt der
Parameter workgroup.
E realm = EXAMPLE.NET
Bei dem realm handelt es sich um die Information für die Kerberos-Domäne. Für diesen
Realm wird sich der Samba-Server einen KDC suchen.
E security = ADS
Damit legen Sie fest, dass Ihr Server ein Mitglied in einer AD-Domäne ist.
E winbind separator = +
Normalerweise werden die Benutzer vom winbind in der Form DOMÄNE/Benutzer dar-
gestellt. Da der Schrägstrich aber im Dateisystem verwendet wird, ist es sinnvoll, das
Zeichen durch ein anderes Zeichen, hier das Pluszeichen, zu ersetzen.
E winbind enum users = yes
Ohne diesen Parameter würden die Benutzer auf dem lokalen Linux-System nicht ange-
zeigt und wären nicht nutzbar, um Rechte im Dateisystem vergeben zu können.
E winbind enum groups = yes
Auch hier sorgt der Parameter dafür, dass Ihre Gruppen im Linux-System sichtbar sind
und für Berechtigungen verwendet werden können.
E winbind use default domain = yes
Haben Sie nur eine Domäne, können Sie mit diesem Parameter dafür sorgen, dass nur
die Benutzername von winbind übergeben werden, ohne die Domäne vor den Namen zu
stellen. Wenn Sie diesen Parameter nutzen, können Sie den Parameter winbind separator
= + aus der Konfigurationsdatei entfernen.
E winbind refresh tickets = yes
Mit diesem Parameter werden Kerberos-Tickets automatisch erneuert, wenn der Benut-
zer angemeldet ist und das Ticket abläuft.
E template shell = /bin/bash
Diesen Parameter dürfen Sie auf gar keinen Fall vergessen. Ohne ihn kann sich ein Benut-
zer aus dem AD zwar anmelden, aber er wird sofort wieder abgemeldet, da der Benutzer
im AD keine Shell zugewiesen bekommt, diese aber für eine erfolgreiche Anmeldung
benötigt wird.
E idmap config * : range = 1000000 - 1999999
Neben den Gruppen und Benutzern, die Sie als Administrator anlegen, gibt es noch die
Build-in-Groups. Diese Gruppen haben einen eigenen verkürzten SID. Für diese Gruppen
159
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 160 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
müssen Sie auch das ID-Mapping konfigurieren. Die Konfiguration der Build-in-Groups
wird über den Stern in idmap config * : range = 1000000 - 1999999 konfiguriert. Eigent-
lich müssten Sie auch noch den Parameter idmap config * : backend = tdb konfigurie-
ren, aber dieser Parameter wird von Samba4 automatisch gesetzt. Testen können Sie das
mit dem Kommando testparm.
E idmap config EXAMPLE : backend = rid
Die IDs der Benutzer müssen aus den SIDs der AD-Benutzer generiert werden. Dazu gibt
es verschiedene Möglichkeiten. Die Standardeinstellungen für den winbind ist die Ver-
wendung von tdb-Dateien. Dabei werden zufällige UIDs generiert und den Benutzern zu-
gewiesen und in der tdb-Datei gespeichert. Der Nachtteil dieses Verfahrens ist der, dass
so jeder Benutzer auf jedem Linux-System eine andere UID bekommt. Durch den Wech-
sel auf das Backend idmap_rid wird immer der RID des Benutzers aus der AD-Domäne
gewählt. Da dieser eindeutig ist, ist die ID der Benutzer und Gruppen auf dem Linux-Sys-
tem auch eindeutig. Der Benutzer hat dadurch auf allen Linux-System in der gesamten
Domäne immer dieselbe UID. Ein Problem bekommen Sie so aber nicht in den Griff, und
zwar werden auf den DCs Ihrer Domäne die UIDs immer im AD verwaltet und somit im-
mer anders als auf den anderen Systemen in der Domäne. Die einfachste Möglichkeit,
dieses Problem zu umgehen, ist die, die Domaincontroller nicht als File-Server zu ver-
wenden und alle Dateien immer auf anderen Samba-Servern in der Domäne abzulegen.
E idmap config EXAMPLE : = 1000000 - 1999999
Hier legen Sie den Bereich fest, in dem sich die UIDs der Benutzer befinden sollen.
Jetzt können Sie mit dem Linux-Client der Domäne beitreten. In Listing 7.5 sehen Sie, wie Sie
über die Kommandozeile den Linux-Client in die AD-Domäne bringen:
root@linux-client:~# net rpc join EXAMPLE -U administrator
Enter administrator’s password:
Joined domain EXAMPLE.
Listing 7.5 Beitritt eines Linux-Clients
Wenn Sie im Anschluss oder später den Beitritt zur Domäne prüfen wollen, können Sie das
wie in Listing 7.6 durchführen:
root@linux-client:~# net rpc testjoin
Join to 'EXAMPLE' is OK
Listing 7.6 Testen des Beitritts
Wenn Sie jetzt den winbind starten wollen, erhalten Sie die Meldung wie in Listing 7.7:
root@linux-client:~# service sernet-samba-winbindd start
/etc/init.d/sernet-samba-winbindd wants to start but SAMBA_START_MODE\
is set to "none".
Disable /etc/init.d/sernet-samba-winbindd or set SAMBA_START_MODE in\
160
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 161 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
7.2 Hinzufügen eines Linux-Clients zur Domäne
/etc/default/sernet-samba to "classic".
[warn] Exiting gracefully now. ... (warning).
Listing 7.7 Fehler beim Start des winbind
Sie müssen erst noch die Datei /etc/default/sernet-samba so wie in Listing 7.8 anpassen:
# SAMBA_START_MODE defines how Samba should be started.\
Valid options are one of
# "none" to not enable it at all,
# "classic" to use the classic smbd/nmbd/winbind daemons
# "ad" to use the Active Directory server \
(which starts the smbd on its own)
# (Be aware that you also need to enable the services/init scripts that
# automatically start up the desired daemons.)
SAMBA_START_MODE="classic"
Listing 7.8 Anpassung der Datei »/etc/default/sernet-samba«
Da hier ja nur ein Client oder ein File-Server konfiguriert werden soll, müssen Sie den Wert
classic einsetzen. Jetzt können Sie den winbind starten und bekommen dann die Meldun-
gen wie in Listing 7.9:
root@linux-client:~# service sernet-samba-winbindd start
[ ok ing SAMBA winbindd : .
Listing 7.9 Erneuter Start des winbind
Mit dem Kommando wbinfo -u sehen Sie jetzt alle Benutzer aus der AD-Domäne. Mit dem
Kommando wbinfo -g sehen Sie alle Gruppen der AD-Domäne. In Listing 7.10 sehen Sie ein
Beispiel dafür:
root@linux-client:~# wbinfo -u
ktom
administrator
skania
krbtgt
guest
root@linux-client:~# wbinfo -g
allowed rodc password replication group
enterprise read-only domain controllers
denied rodc password replication group
read-only domain controllers
group policy creator owners
ras and ias servers
domain controllers
161
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 162 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
buchhaltung
enterprise admins
domain computers
cert publishers
dnsupdateproxy
domain admins
domain guests
schema admins
domain users
dnsadmins
alleuser
Listing 7.10 Auflistung aller Benutzer und Gruppen mit »wbinfo«
Jetzt müssen Sie die Benutzer und Gruppen noch im Linux-System bekannt machen. Um die
Benutzer aus verschiedenen Authentifizierungsquellen auslesen zu können, verwendet Li-
nux den Name Service Switch (NSS). Dieser wird über die Datei /etc/nsswitch.conf konfiguriert.
Damit Ihr System die von winbind übergebenen Benutzer auch im Linux-System verwenden
kann, müssen Sie die Datei /etc/nsswitch.conf so wie in Listing 7.11 anpassen:
passwd compat winbind
group compat winbind
shadow compat winbind
Listing 7.11 Die Datei »/etc/nsswitch.conf«
Wenn Sie jetzt die Kommandos getent passwd und getent group verwenden, werden Ihnen
die Benutzer und Gruppen aus der AD-Domäne als Linux-Benutzer angezeigt. In Listing 7.12
sehen Sie das Ergebnis des Kommandos getent passwd:
root@linux-client:~# getent passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
.
.
.
statd:x:102:65534::/var/lib/nfs:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
stka:x:1000:1000:stka,,,:/home/stka:/bin/bash
messagebus:x:104:107::/var/run/dbus:/bin/false
ktom:*:1001106:1000513:Kater Tom:/home/EXAMPLE/ktom:/bin/bash
administrator:*:1000500:1000513:Administrator:/home/EXAMPLE/administrator\
:/bin/bash
skania:*:1001105:1000513:Stefan Kania:/home/EXAMPLE/skania:/bin/bash
162
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 163 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
7.2 Hinzufügen eines Linux-Clients zur Domäne
krbtgt:*:1000502:1000513:krbtgt:/home/EXAMPLE/krbtgt:/bin/bash
guest:*:1000501:1000514:Guest:/home/EXAMPLE/guest:/bin/bash
Listing 7.12 Ergebnis von »getent passwd«
Wenn Sie die UIDs der Benutzer jetzt mit den RIDs der AD-Benutzer vergleichen, sehen Sie,
dass beide identisch sind. Mit dem Kommando tdbdump können Sie sich das Mapping auch
anzeigen lassen. In Listing 7.13 sehen Sie einen Ausschnitt aus dem Kommando:
root@samba4-1:~# tdbdump /var/lib/samba/winbindd.tdb
{
key(47) = "U/S-1-5-21-2272618568-2628634020-1511971479-501"
data(146) = "\00\00\00\00M\0F\00\00i\E0\F7Q\00\00\00\00\05Guest\05Guest\0B\
/home/%D/%U\09/bin/bash\FF\FF\FF\FF-S-1-5-21-2272618568-2628634020
-1511971479-501-S-1-5-21-2272618568-2628634020-1511971479-514"
}
{
key(47) = "U/S-1-5-21-2272618568-2628634020-1511971479-502"
data(148) = "\00\00\00\00M\0F\00\00i\E0\F7Q\00\00\00\00\06krbtgt\06krbtgt\0B\
/home/%D/%U\09/bin/bash\FF\FF\FF\FF-S-1-5-21-2272618568-2628634020
-1511971479-502-S-1-5-21-2272618568-2628634020-1511971479-513"
}
{
key(17) = "GL/BUILTIN/domain"
data(20) = "\00\00\00\00<\DF\F7Q\B6\E0\F7Q\00\00\00\00\00\00\00\00"
}
{
key(17) = "NS/EXAMPLE/SKANIA"
data(67) = "\00\00\00\00M\0F\00\00i\E0\F7Q\00\00\00\00\01\00\00\00.\
S-1-5-21-2272618568-2628634020-1511971479-1105"
}
Listing 7.13 Ausschnitt aus »tdbdump«
Hier sehen Sie, dass der Benutzer skania den RID 1105 hat und als UID die 1001105. Der Wert
setzt sich aus dem Eintrag in der Datei smb.conf, idmap config EXAMPLE : range = 1000000 -
1999999, und dem RID des Benutzers zusammen.
Falsches ID-Mapping
Sollten die UIDs jetzt nicht mit den RIDs der Benutzer übereinstimmen oder sollten Sie an der
Stelle der IDs bei getent den Wert 4294967295 sehen, liegt es wahrscheinlich an der smb.conf.
Überprüfen Sie die Parameter erneut. Da der winbind aber alle Informationen in einem Cache
ablegt, müssen Sie diesen erst mit dem Kommando net cache flush löschen.
163
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 164 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
7.2.1 Konfiguration der Authentifizierung
Damit sich jetzt auch die Benutzer am System anmelden können, müssen Sie noch das PAM-
System und den Kerberos-Client konfigurieren.
Installieren Sie als Erstes das Paket heimdal-clients mit allen Abhängigkeiten. Für die Konfi-
guration des Kerberos-Clients können Sie sich die Datei krb5.conf einfach von einem ande-
ren Client oder einem DC kopieren, da diese Datei auf allen Systemen in der Domäne immer
identisch sein muss.
Denken Sie daran, dass Sie für die Verwendung von Kerberos eine einheitliche Zeit benötigen
und dass die Namensauflösung mittels DNS funktionieren muss. Tragen Sie deshalb den
neuen Client auf jeden Fall in den DNS ein.
Nach der Installation und der Konfiguration können Sie den Kerberos-Client testen, indem
Sie für einen Benutzer ein Ticket anfordern, so wie Sie es in Listing 7.14 sehen können:
root@linux-client:~# kinit administrator
[email protected]'s Password:
root@linux-client:~# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: [email protected]
Issued Expires Principal
Jan 3 15:18:18 2014 Jan 4 01:18:14 2014 krbtgt/[email protected]
root@linux-client:~#
Listing 7.14 Beziehen eines Kerberos-Tickets
Damit ist die Konfiguration des Kerberos-Clients abgeschlossen. Das PAM-Paket muss nicht
weiter konfiguriert werden, da alle benötigten Änderungen bereits bei der Installation des
Paketes libpam-heimdal durchgeführt wurden.
Jetzt ist der Linux-Client so konfiguriert, dass die Benutzer aus der AD-Domäne sich auch an
den Linux-Clients anmelden können. Da die Freigaben noch nicht eingebunden sind, wird
der Benutzer zu diesem Zeitpunkt noch ohne Heimatverzeichnisse angemeldet.
Wenn Sie an dieser Stelle die Anmeldung eines Benutzers – entweder direkt oder über ssh –
testen, werden Sie mit dem Kommando klist feststellen, dass der Benutzer auch sofort ein
TGT vom Kerberos erhalten hat. Das ist wichtig, da Sie nur so später ein Single Sign-on auf
andere Dienste realisieren können.
164
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 165 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
7.3 Zugriff von Linux-Clients auf Samba-Freigaben
7.3 Zugriff von Linux-Clients auf Samba-Freigaben
In einer heterogenen Client-Umgebung sollen auch die Linux-Clients die Freigaben des Sam-
ba-Servers nutzen können. Jetzt soll es darum gehen, dass die Freigaben ebenfalls genutzt
werden können, sodass die Benutzer auch unter Linux ihr Heimatverzeichnis und die Daten
nutzen können.
Für die Datenfreigabe auf den Linux-Clients haben Sie jetzt zwei Möglichkeiten: Sie können
cifs verwenden und damit das SMB-Protokoll des Samba-Servers oder aber zusätzlich einen
NFS-Server einrichten. Hier im Buch soll nur der Samba-Server für die Datenfreigabe genutzt
werden.
Bei der Verwendung von cifs gibt es dann wiederum zwei Möglichkeiten, wie Sie Ihren Benut-
zern Freigaben zur Verfügung stellen können. Die eine Möglichkeit besteht darin, dass Sie
die entsprechende Freigabe in die Datei /etc/fstab eintragen, die andere Möglichkeit ist die
Verwendung von pam_mount. Beide Varianten sollen hier im Buch anhand von Beispielen
erklärt werden.
7.3.1 Die Verwendung der Datei »/etc/fstab«
Um cifs verwenden zu können, müssen Sie als erstes das Paket cifs-utils auf den Linux-Cli-
ents installieren, um überhaupt mit dem Kommando mount cifs-Freigaben mounten zu kön-
nen. Bei der Verwendung von cifs wird beim Mounten des Dateisystems immer ein Benutzer-
name und ein Passwort benötigt. Wenn immer nur eine Person einen Client nutzt, können
Sie diese Information über eine Datei bei Systemstart übergeben. Dabei gibt es ein Problem:
Wenn der Benutzer sein Passwort ändert, muss die Datei auch geändert werden. Ein wei-
teres Problem tritt auf, wenn ein Benutzer die Freigabe mountet, sich abmeldet und sich
dann ein anderer Benutzer anmeldet. Denn gemountete cifs-Freigaben gehören immer dem
Benutzer, der sie gemountet hat. Aber cifs unterstützt auch die Mount-Option users, mit
der jeder Benutzer ein gemountetes Dateisystem dismounten kann, egal welcher Benutzer
das Dateisystem vorher gemountet hat. Trotz aller dieser Nachteile hat cifs auch Vorteile
gegenüber NFS. Die Datenübertragung findet verschlüsselt statt. cifs ist stabiler und hat, ab
der SMB-Version 2.0 eine höhere Datendurchsatzrate. Die Einschränkungen – zum Beispiel
über den Parameter hide unreadable = yes – sind auch für die Linux-Benutzer wirksam. Ein
weiter Vorteil ist, dass Sie nur einen Dienst für die Freigaben pflegen müssen.
Zum Glück unterstützt cifs auch Kerberos für die Authentifizierung, und mit Samba 4 wird
auch die Kerberos-Authentifizierung angewendet. Dadurch können Sie das Problem mit der
Anmeldung des Benutzers umgehen. Jeder Benutzer, der sich am Linux-System anmeldet,
erhält automatisch ein Ticket Granting Ticket (TGT). Mit diesem TGT kann dann die Authen-
tifizierung gegenüber dem Samba-Fileserver durchgeführt werden. Installieren Sie auf al-
len Linux-Clients das Paket libpam-heimdal. Änderungen an den PAM-Konfigurationsdateien
165
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 166 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
müssen Sie nicht vornehmen. Testen Sie anschließend die Anmeldung, und prüfen Sie mit
klist, ob der Benutzer auch sein TGT erhalten hat. Erst wenn Ihre Anmeldung so funktioniert
wie die ssh-Anmeldung in Listing 7.15, sollten Sie weitermachen:
stefan@stefan:~% ssh [email protected]
[email protected]'s password:
Linux linux-client 3.2.0-4-amd64 #1 SMP Debian 3.2.41-2+deb7u2 x86_64
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Fri Jan 3 15:32:49 2014
Could not chdir to home directory /home/EXAMPLE/skania: No such file or directory
skania@linux-client:/$ klist
Credentials cache: FILE:/tmp/krb5cc_1001104_rU737r
Principal: [email protected]
Issued Expires Principal
Jan 3 15:45:17 2014 Jan 4 01:45:14 2014 krbtgt/[email protected]
Listing 7.15 Anmeldung am Client
Wie Sie hier sehen, fehlt dem Benutzer noch das Heimatverzeichnis, und auch die Da-
tenverzeichnisse sind noch nicht gemountet. Damit Benutzer die Freigaben mounten
können, müssen Sie bei dem Programm /sbin/mount.cifs das SUID-Bit mit chmod u+s
/sbin/mount.cifs setzen, da sonst ein Mounten der Dateisysteme durch Benutzer nicht
möglich ist.
In den unterschiedlichen Distributionen ist das SUID-Bit schon gesetzt. Prüfen Sie, ob das
bei Ihnen schon der Fall ist.
Haben Sie die Voraussetzungen bis zu diesem Punkt geschaffen, dann können Sie nun das
Mounten testen. In Listing 7.16 sehen Sie diverse Versuche, das Dateisystem zu mounten:
root@linux-client:~# mkdir /daten
root@linux-client:~# mount -t cifs -o sec=krb5 //fileserver/abteilungen /abteilungen
mount error(126): Required key not available
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
root@linux-client:~# su - skania
skania@linux-client:/$ klist
166
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 167 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
7.3 Zugriff von Linux-Clients auf Samba-Freigaben
Credentials cache: FILE:/tmp/krb5cc_1001105
Principal: [email protected]
Issued Expires Principal
Aug 2 14:13:18 2013 Aug 3 00:12:29 2013 krbtgt/[email protected]
skania@linux-client:/$ mount -t cifs -o sec=krb5 //fileserver/abteilungen\
/abteilungen
mount: only root can do that
Listing 7.16 Verschiedene Mount-Versuche
Was ist hier passiert? Im ersten Anlauf versucht der root das Dateisystem zu mounten. Die-
ser Versuch scheitert daran, dass der root ein lokaler Benutzer ist und somit kein TGT besitzt.
Dann wird mit su - skania die Identität auf einen Benutzer aus dem Active Directory geän-
dert und derselbe Befehl abgesetzt. Dieses Mal scheitert der Mount-Versuch daran, dass nur
der root mounten kann. Deshalb müssen Sie jetzt erst für normale Benutzer das Mounten
ermöglichen. Dieses realisieren Sie, indem Sie den folgenden Eintrag in die Datei /etc/fstab
wie in Listing 7.17 erstellen:
//fileserver/abteilungen /abteilungen cifs users,sec=krb5 0 0
Listing 7.17 Eintrag in der Datei »/etc/fstab«
Durch die Option users ermöglichen Sie das Mounten dieses Dateisystems durch normale
Benutzer. Weiterhin erlaubt die Option users gegenüber der Option user, dass jeder Benutzer
jedes von einem anderen Benutzer gemountete Dateisystem wieder dismounten kann. Jetzt
kann der Benutzer das Dateisystem über den vereinfachten Mount-Befehl mounten, so wie
Sie es in Listing 7.18 sehen können:
skania@linux-client:/$ mount /abteilungen/
skania@linux-client:/$ mount
.
.
.
//fileserver/abteilungen on /abteilungen type cifs (rw,nosuid,nodev,relatime,\
sec=krb5,unc=\\fileserver\abteilungen,username=skania,\
uid=1001105,forceuid,gid=1000513,forcegid,addr=192.168.123.172,\
unix,posixpaths,serverino,acl,rsize=1048576,wsize=65536,actimeo=1)
Listing 7.18 Mounten durch einen Benutzer
Hier sehen Sie, dass die Freigabe durch den Benutzer skania gemountet wurde. Alle Datei-
en und Verzeichnisse werden automatisch dem Benutzer zugewiesen. Aber die eigentlichen
167
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 168 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
Rechte bleiben erhalten, da diese auf dem Dateisystem des Servers verwaltet werden. Der Be-
nutzer kann somit keine Dateien verändern, an denn er keine Rechte hat. Auch bleiben die
Einschränkungen der Freigabe erhalten. Bei der Einrichtung der Freigabe und der Berechtig-
ten wurden ja in dem Verzeichnis /abteilungen Unterverzeichnisse angelegt und bestimm-
ten Gruppen zugeordnet. Der Benutzer skania ist nur Mitglied der Gruppe vertrieb. Deshalb
wird der Benutzer auch in dem Verzeichnis /abteilungen nur das Unterverzeichnis vertrieb
sehen, so wie in Listing 7.19:
skania@linux-client:/$ id
uid=1001105(skania) gid=1000513(domain users) Gruppen=1000513(domain users),\
1001111(vertrieb)
skania@linux-client:/$ ls -l /abteilungen/
insgesamt 0
drwxrwx--- 2 skania domain users 0 Aug 2 13:58 vertrieb
Listing 7.19 Erster Zugriff auf die gemoutete Freigabe
So können Sie jetzt alle Dateisysteme eines Samba-Servers via cifs bereitstellen und mounten.
Nur bleibt das Problem: Was passiert, wenn der eine Benutzer sich abmeldet und ein anderer
Benutzer sich anmeldet? In Listing 7.20 sehen Sie das Problem:
root@linux-client:~# su - ktom
skania@linux-client:/$ ls -l /abteilungen/
insgesamt 0
drwxrwx--- 2 skania domain users 0 Aug 2 13:58 vertrieb
Listing 7.20 Anmeldung eines anderen Benutzers
Der Benutzer ktom ist nicht der Besitzer des Verzeichnisses, da das gemountete Dateisystem
dem Benutzer skania gehört. Deshalb müssen Sie dafür sorgen, dass die Dateisysteme beim
Abmelden der Benutzer dismountet und bei jeder Anmeldung neu gemountet werden.
Das Mounten der Dateisysteme können Sie über die Datei /etc/profile realisieren, da diese bei
jeder Anmeldung immer abgearbeitet wird. Das Dismounten der Dateisysteme können Sie
über die Datei .bash_logout regeln. Beim Dismounten über die Datei .bash_logout müssten
Sie dann für jeden Benutzer ein Skript bereitstellen. Einfacher ist es, bei der Anmeldung
bereits gemountete Dateisysteme erst zu dismounten, was ja dank der Mount-Option users
möglich ist. Anschließend können dann die Dateisysteme neu gemountet werden. Ein sehr
einfaches Beispiel dafür sehen Sie in Listing 7.21:
if [ "$USER" != "root" ]
then
umount /abteilungen 2>/dev/null
sleep 1
168
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 169 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
7.3 Zugriff von Linux-Clients auf Samba-Freigaben
mount /abteilungen
fi
Listing 7.21 Mount-Skript für die Freigaben
Diese if-Bedingung stellen Sie ans Ende der Datei /etc/profile. Für den Benutzer root wird
der Teil des Skripts nicht ausgeführt, da der root kein TGT besitzt und somit ein Mounten
für ihn nicht möglich ist. Nach dem Dismounten kommt eine Pause von einer Sekunde. Je
nachdem, wie schnell Ihr System ist, können Sie diese Pause auch weglassen. Jetzt werden
alle Netzwerkdateisysteme ausschließlich über cifs gemountet und Sie benötigen kein NFS
zusätzlich.
Leider gibt es ein Problem mit dem Mounten der Heimatverzeichnisse der Benutzer über
diesen Weg. Wenn Sie versuchen, das Heimatverzeichnis der Benutzer so zu mounten, gibt es
Probleme mit den Zugriffsrechten und der Anmeldung an grafischen Oberflächen. Deshalb
ist dieser Weg nur sinnvoll, wenn Sie ausschließlich Datenverzeichnisse mounten wollen und
die Heimatverzeichnisse entweder immer lokal liegen oder über NFS bereitgestellt werden
sollen. Wollen Sie alles über cifs mounten, müssen Sie auf das Mounten mit pam_mount
umschwenken.
7.3.2 Mounten über »pam_mount«
Im vorigen Abschnitt konnten Sie sehen, wie Sie einzelne Freigaben durch Einträge in die
Datei /etc/fstab realisieren können. Diese Art der Verwaltung von Freigaben eignet sich aber
nur für Freigaben für Daten oder für Freigaben, die der Benutzer nachträglich von Hand
mounten können soll. Wollen Sie die Heimatverzeichnisse der Benutzer mounten und Da-
tenverzeichnisse bei der Anmeldung eines Benutzers passend mounten, ist der Weg über
die fstab keine gute Lösung. Hier empfiehlt es sich, auf das automatische Mounten über
pam_mount zurückzugreifen.
Damit Sie pam_mount verwenden können, müssen Sie als Erstes das Paket libpam-
mount installieren. Bei der Installation des Paketes werden die beiden Dateien /etc/pam.d/
common-auth und /etc/pam.d/common-session um das PAM-Modul pam_mount.so erweitert.
Dadurch kann beim Zugriff auf die Freigaben sofort die Authentifizierung des zugreifenden
Benutzers durchgeführt werden. Die Authentifizierung können Sie dabei über Kerberos
realisieren.
Über die Datei /etc/security/pam_mount.conf.xml gpIndexpam_mount.conf.xmlrealisieren
Sie die Konfiguration von pam_mount. In Listing 7.22 sehen Sie zwei Einträge: einmal einen
Eintrag für ein Datenverzeichnis und einen weiteren Eintrag für die Heimatverzeichnisse
der Benutzer. Denn über pam_mount lassen sich jetzt auch die Heimatverzeichnisse der
Benutzer ohne Probleme automatisch bei der Anmeldung mounten.
169
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 170 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
<volume
fstype="cifs"
server="samba4-1.example.net"
path="users\%(DOMAIN_USER)"
mountpoint="/home/EXAMPLE/%(DOMAIN_USER)"
options="sec=krb5,workgroup=EXAMPLE" />
<volume
user="%(DOMAIN_USER)"
fstype="cifs"
server="samba4-1.example.net"
path="alle"
mountpoint="/alle"
option="sec=krb5,workgroup=EXAMPLE" />
Listing 7.22 Einträge in der Datei »/etc/security/pam_mount.conf.xml«
Die Parameter haben dabei die folgenden Bedeutungen:
E user="%(DOMAIN_USER)"
Durch den Parameter user beschränken Sie die Verfügbarkeit der Freigabe auf bestimmte
Benutzer – in diesem Fall auf alle Benutzer der Domäne.
E fstype="cifs"
Hier wird der Dateisystemtyp festgelegt – in diesem Fall cifs.
E server="samba4-1.example.net"
Bei diesem Parameter geben Sie den Server an, auf dem Sie die Freigabe eingerichtet
haben.
E path="users\%(DOMAIN_USER)"
Hierbei handelt es sich um die Freigabe und den Pfad innerhalb der Freigabe, der ge-
mountet werden soll. Im ersten Beispiel wird immer das Heimatverzeichnis des ent-
sprechenden Benutzers gemountet. Im zweiten Beispiel wird nur der Name der Freigabe
angegeben, da hier die gesamte Freigabe gemountet werden soll.
E mountpoint="/home/EXAMPLE/%(DOMAIN_USER)"
Hier geben Sie den Mountpoint auf dem lokalen System an, in den die Freigabe gemoun-
tet werden soll.
E option="sec=krb5,workgroup=EXAMPLE"
Bei dem Parameter option können Sie verschiedene Mount-Parameter angeben. Über die
Option sec=krb5 legen Sie die Sicherheitsstufe bei der Authentifizierung fest. Der Stan-
dardwert wäre hier ntlmv1. Da Samba 4 Kerberos bereitstellt, soll hier auch Kerberos für
die Authentifizierung verwendet werden. Deshalb wird hier der Parameter sec=krb5 ge-
170
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 171 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
7.4 »sssd« versus »winbind«
setzt. Über die Option workgroup=EXAMPLE setzen Sie die Domäne, in der sich der Benutzer
befindet.
Wenn sich jetzt ein Benutzer am Client anmeldet, werden die Freigaben automatisch ge-
mountet und dem Benutzer zugeordnet. Im nachfolgenden Listing sehen Sie die gemounte-
ten Freigeben:
//samba4-1.example.net\users/skania on /home/EXAMPLE/skania type cifs\
(rw,relatime,sec=krb5,unc=\\samba4-1.example.net\users,username=skania,\
domain=EXAMPLE,uid=1001105,forceuid,gid=1000513,forcegid,addr=192.168.56.100,\
posixpaths,serverino,acl,\rsize=1048576,wsize=65536,actimeo=1)
//samba4-1.example.net/alle on /daten/alle type cifs (rw,relatime,sec=krb5,\
unc=\\samba4-1.example.net\alle,username=skania,domain=EXAMPLE,uid=1001105,\
forceuid,gid=1000513,forcegid,addr=192.168.56.100,posixpaths,serverino,acl,\
rsize=1048576,wsize=65536,actimeo=1)
Listing 7.23 Die gemounteten Freigaben über »pam_mount«
Jetzt steht einer gemeinsamen Nutzung eines Clients durch mehrere Benutzer nichts mehr
entgegen. Für jeden Benutzer werden die Freigaben automatisch gemountet, und alle Ein-
stellungen, die Sie über die Freigabe vergeben haben, werden übernommen.
7.4 »sssd« versus »winbind«
Solange Sie nur mit Desktop-PCs arbeiten, die immer Verbindung zur Domäne haben, kom-
men Sie mit der Zuordnung der Benutzer über winbind sehr gut zurecht.
Sobald Sie aber zum Beispiel Notebooks mit Linux als Betriebssystem einsetzen und die
Benutzer diese auch außerhalb Ihres Netzwerks, also ohne Kontakt zum Domaincontroller,
nutzen wollen, wird es dann schon schwieriger mit der Authentifizierung. Denn winbind
kann keine Benutzerinformationen zwischenspeichern.
Da kommt dann der System Security Services Daemon (sssd) ins Spiel. sssd ist ein Dienst, der
den Zugriff auf verschiedene Identifikations- und Authentifizierungsdienste regeln kann.
Sie können sssd sowohl gegen einen LDAP-Server als auch gegen Kerberos oder das Active
Directory authentifizieren lassen. Der sssd stellt hierfür eine Schnittstelle für NSS und PAM
zur Verfügung.
Der sssd ist in der Lage, Anmeldeinformationen zwischenzuspeichern, und somit ist eine
Anmeldung auch ohne Kontakt zur Authentifizierungsquelle möglich. sssd hat gegenüber
winbind auch noch die folgenden Vorteile:
171
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 172 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
E Die Konfiguration von sssd ist relativ einfach.
E Das ID-Mapping ist sehr schnell und gerade in größeren Umgebungen wichtig.
E Alle Posix-Informationen können zentral im AD verwaltet werden, solange Sie das
rfc2307-Schema anstelle des nis-Schemas verwenden.
E Da Sie sssd so konfigurieren können, dass der Dienst mehrere Domaincontroller in Ihrem
Netz ansprechen kann, erhöhen Sie hierdurch die Ausfallsicherheit.
E Die Authentifizierung von Benutzern kann auch ohne den Beitritt der Maschine zur Do-
mäne stattfinden.
E Alle aktuellen Versionen (ab 1.10.0) unterstützen direkt das ID-Mapping über das Active
Directory. Leider wird bei Debian-Wheezy erst die Version 1.8.4 über das Repository be-
reitgestellt, sodass Sie bei der Verwendung des Paketes das ID-Mapping über LDAP und
das rfc2307-Schema durchführen müssen. Bei den aktuellen Versionen von Ubuntu ist
aber eine Version >= 1.10.0 enthalten.
E Durch die Verwendung von Kerberos ist jegliche Kommunikation verschlüsselt.
Die Authentifizierung mittels sssd über einen Active Directory funktioniert erst ab der sssd-
Version 1.10.0. Bei älteren Versionen können Sie nur gegen den LDAP authentifizieren. Hier
im Buch verwende ich deshalb Kubuntu 13.10 Desktop, da erst ab dieser Version ein sssd in
der passenden Version vorhanden ist. Sie können auch mit älteren Versionen arbeiten, dann
müssen Sie aber sicherstellen, dass der Samba 4-Server das rfc2307bis-Schema unterstützt.
Die Unterstützung für dieses Schema lässt sich beim Einrichten des Samba4 über die Option
-use-rfc2307 während des Provisioning erreichen. Eine nachträgliche Umstellung ist nicht
möglich.
Installieren Sie die Distribution, und installieren Sie keine Samba-Pakte. Denn die Authenti-
fizierung soll zwar gegen das AD stattfinden, aber dazu soll kein winbind verwendet werden.
Sollten die Samba-Pakete installiert sein, kommt es zu Konflikten bei der Installation der
sssd-Pakete.
Denken Sie daran, den neuen Client auch im DNS einzutragen. Erst wenn der neue Client
über DNS auflösbar ist, können Sie mit der Konfiguration von sssd beginnen.
7.4.1 Installation und Konfiguration von »sssd«
Um sssd nutzen zu können, müssen Sie auf dem Linux-Client das Paket so wie in Listing 7.24
installieren:
root@kde-client:~# apt-get install sssd-ad
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Die folgenden zusätzlichen Pakete werden installiert:
172
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 173 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
7.4 »sssd« versus »winbind«
ldap-utils libbasicobjects0 libc-ares2 libcollection2 libdhash1 libini-config3\
libipa-hbac0 libldb1 libndr-standard0 libndr0 libnss-sss libpam-pwquality\
libpam-sss libpath-utils1 libref-array1 libsamba-util0
libsasl2-modules-gssapi-mit libsasl2-modules-ldap libsss-idmap0 libsss-sudo\
python-sss sssd sssd-ad-common sssd-common sssd-ipa sssd-krb5 sssd-krb5-common\
sssd-ldap sssd-proxy
Vorgeschlagene Pakete:
sssd-tools
Die folgenden NEUEN Pakete werden installiert:
ldap-utils libbasicobjects0 libc-ares2 libcollection2 libdhash1 libini-config3\
libipa-hbac0 libldb1 libndr-standard0 libndr0 libnss-sss libpam-pwquality\
libpam-sss libpath-utils1 libref-array1 libsamba-util0 libsasl2-modules-gssapi-mit\
libsasl2-modules-ldap libsss-idmap0 libsss-sudo python-sss sssd sssd-ad\
sssd-ad-common sssd-common sssd-ipa sssd-krb5 sssd-krb5-common sssd-ldap\
0 aktualisiert, 30 neu installiert, 0 zu entfernen und 3 nicht aktualisiert.
Es müssen 4.640 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 15,0 MB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren [J/n]?
Listing 7.24 Installation der benötigten Pakete
Nach der Installation der Pakete müssen Sie als Nächstes den Kerberos-Schlüssel des Li-
nux-Clients aus dem Samba 4-AD exportieren und auf dem Client als Datei bereitstellen.
Der Schlüssel dient dann zur Identifikation des Clients. Den Schlüssel exportieren Sie mit
dem Kommando samba-tool domain exportkeytab /root/kde-client.sssd.kytab -princi-
pal=kde-client$. Kopieren Sie die so erzeugte Datei in das Verzeichnis /etc auf dem Client,
und sorgen Sie dafür, dass nur der root Lese- und Schreibrecht hat.
Vergessen Sie das Dollarzeichen hinter dem Hostnamen nicht. Ohne das Dollarzeichen wird
der Host nicht gefunden.
Installieren Sie noch das Paket heimdal-clients, und kopieren Sie anschließend die Datei
/etc/krb5.conf von einem Domaincontroller auf den neuen Client. Jetzt können Sie auf dem
Client den Inhalt der keytab-Datei prüfen. In Listing 7.25 sehen Sie, wie Sie den Inhalt der
keytab-Datei prüfen können:
root@kde-client:/etc# ktutil -k linux-client.sssd.keytab list
linux-client.sssd.keytab:
Vno Type Principal Aliases
2 des-cbc-crc [email protected]
2 des-cbc-md5 [email protected]
2 arcfour-hmac-md5 [email protected]
Listing 7.25 Überprüfung der »keytab«-Datei
173
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 174 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
Jetzt müssen Sie die Konfigurationsdatei /etc/sssd/sssd.conf so wie in Listing 7.26 erstellen:
[sssd]
services = nss, pam
config_file_version = 2
domains = example
debug_level = 9
[nss]
filter_users = root
filter_groups = root
[pam]
[domain/example]
ad_hostname = kde-client.example.net
ad_server = samba4-1.example.net
ad_domain = example
default_shell = /bin/bash
override_homedir = /home/%u
ldap_schema = ad
id_provider = ad
access_provider = ad
# on large directories, you may want to disable enumeration for performance reasons
enumerate = true
cache_credentials = true
auth_provider = krb5
chpass_provider = krb5
ldap_sasl_mech = GSSAPI
ldap_sasl_authid = [email protected]
krb5_realm = EXAMPLE.NET
krb5_server = samba4-1.example.net
krb5_kpasswd = samba4-1.example.net
krb5_keytab = /etc/krb5.keytab
ldap_krb5_init_creds = true
ldap_referrals = false
ldap_uri = ldap://samba4-1.example.net
ldap_search_base = dc=example,dc=net
dyndns_update=false
ldap_id_mapping=true
Listing 7.26 Die Konfigurationsdatei zum »sssd«
174
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 175 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7
7.4 »sssd« versus »winbind«
Einige der Parameter sind selbsterklärend, doch ein paar der Parameter möchte ich hier noch
im Einzelnen erklären:
E domains = example
Hier geben Sie den NetBIOS-Namen der Domäne an. Sie können hier auch mehrere Do-
mänen eintragen. Dann muss aber für jede Domäne eine eigene Section in der Konfigu-
rationsdatei folgen.
E override_homedir = /home/%u
Hier wird den Benutzern das Heimatverzeichnis zugewiesen. Die Variable %u steht dabei
für den Anmeldenamen des Benutzers. Ohne diesen Parameter wird allen Benutzern die
root des Dateisystems als Heimatverzeichnis zugewiesen.
E default_shell = /bin/bash
Legt die Login-Shell der Benutzer fest.
E filter_users = root filter_groups = root
Hier können Sie Benutzer und Gruppen eintragen, die von sssd nicht über NSS aufgelöst
werden sollen. Besonders sinnvoll ist das für Systembenutzer.
E cache_credentials = true
Dieser Parameter sorgt dafür, dass die Anmeldeinformationen vom sssd zwischengespei-
chert werden und dass sich der Benutzer auch anmelden kann, wenn die Domäne nicht
verfügbar ist.
E ldap_sasl_authid = [email protected]
Hier muss derselbe Hostname für die Kerberos-Authentifizierung eingetragen sein wie
in der keytab-Datei, die Sie auf dem System abgelegt haben. Auch hier dürfen Sie das
Dollarzeichen nicht vergessen.
E ldap_id_mapping=true
Hierdurch wird das ID-Mapping auf dem Client aktiviert, und mit getent passwd können
Sie dann alle Benutzer auflisten lassen.
Achten Sie auf die richtigen Berechtigungen
Ganz wichtig ist, dass Sie bei den Berechtigungen der Konfigurationsdatei /etc/sssd/sssd.conf
und der keytab-Datei /etc/krb5.keytab die Rechte so setzen, dass nur der root Schreib- und
Leserecht an den Dateien hat. Passen Sie die Rechte nicht an, wird der sssd nicht starten.
Starten Sie jetzt den sssd neu, sehen Sie die Benutzer und Gruppen dann mit getent passwd
und getent group.
175
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 176 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: clients/clients , Aktueller Job: samba4
7 Verwaltung von Clients in der Domäne
7.4.2 »sssd« und »apparmor«
Bei vielen Distributionen wird apparmor verwendet, um den Zugriff für bestimmte Dienste
im Dateisystem einzuschränken. In den entsprechenden Konfigurationsdateien wird festge-
legt, auf welche Dateien und mit welchen Rechten der Dienst auf die Dateien zugreifen darf.
Immer wenn Sie vom Standard der Dateien für einen solchen Dienst abweichen, müssen Sie
die Konfiguration dieses Dienstes in apparmor anpassen.
Bei sssd handelt es sich um einen Dienst, der über apparmor abgesichert ist. In Listing 7.27
sehen Sie die Datei /etc/apparmor.d/usr.sbin.sssd:
#include <tunables/global>
/usr/sbin/sssd {
#include <abstractions/base>
#include <abstractions/kerberosclient>
#include <abstractions/nameservice>
#include <abstractions/user-tmp>
capability dac_override,
capability dac_read_search,
capability setgid,
capability setuid,
capability sys_nice,
@PROC r,
@PROC/[0-9]*/status r,
/etc/krb5.keytab k,
/etc/ldap/ldap.conf r,
/etc/localtime r,
/etc/shells r,
/etc/sssd/sssd.conf r,
/usr/sbin/sssd rmix,
/usr/lib/@multiarch/ldb/modules/ldb/* m,
/usr/lib/@multiarch/sssd/* rix,
/tmp/{,.}krb5cc_* rwk,
/var/lib/sss/* rw,
/var/lib/sss/db/* rwk,
/var/lib/sss/pipes/* rw,
/var/lib/sss/pipes/private/* rw,
/var/lib/sss/pubconf/* rw,
/var/log/sssd/* rw,
/var/tmp/host_* rw,
/{,var/}run/sssd.pid rw,
}
Listing 7.27 Die Konfigurationsdatei von »apparmor«
176
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 177 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: server/server , Aktueller Job: samba4
7
7.5 Das grafische Login
Wichtig sind hier die Zeilen, die Konfigurationsdateien betreffen. In der Konfigurationsdatei
von sssd wurde ja die keytab-Datei mit dem Dateinamen krb5.keytab festgelegt. Hier se-
hen Sie jetzt den Grund dafür. Über apparmor wird der Zugriff auf diese Datei festgelegt.
Wollen Sie einen anderen Dateinamen als krb5.keytab verwenden, müssen Sie die appar-
mor-Konfiguration für sssd anpassen und dann apparmor neu starten.
7.5 Das grafische Login
Wenn Sie mit Linux-Clients arbeiten, dann haben Sie in den meisten Fällen eine grafische
Oberfläche für Ihre Benutzer eingerichtet. Damit sich jetzt auch die Benutzer aus dem Ac-
tive Directory Ihres Samba4-Servers anmelden können, müssen Sie den Anmeldemanager
lightdm anpassen, da dieser Anmeldemanager in den meisten Distributionen so konfiguriert
ist, dass sich nur lokale Benutzer anmelden können.
Für die Anpassung gehen Sie in die Systemeinstellungen und klicken dort auf Anmeldebild-
schirm LightDM. Anschließend klicken Sie auf die Classic-Ansicht, um die Anmeldung
auch für andere als lokale Benutzer zu ermöglichen (siehe Abbildung 7.4).
Abbildung 7.4 Umstellung des »lightdm«
177
Auf einen Blick
1 Grundlagen zu den Protokollen ...................................................................... 21
TEIL I Einrichtung und Verwaltung einer Domäne2 Vorbereitung und Installation ......................................................................... 29
3 Die Benutzerverwaltung ................................................................................... 43
4 Verwaltung von Freigaben und Logonskripten ......................................... 83
5 Das Dateisystem .................................................................................................. 107
6 Der Einsatz von Gruppenrichtlinien .............................................................. 139
TEIL II Mitglieder in der Domäne7 Verwaltung von Clients in der Domäne ....................................................... 153
8 Zusätzliche Server in der Domäne ................................................................. 179
9 Konfiguration über die Registry ...................................................................... 205
TEIL III Erweiterte Administration10 Sicherung der Einstellungen ............................................................................ 219
11 Wiederherstellung von gelöschten Objekten ............................................ 227
TEIL IV Migration12 Die Migration einer bestehenden Domäne ................................................ 243
TEIL V Samba 4 im Netzwerk13 Samba 4 als Printserver ..................................................................................... 261
14 WINS und Samba 4 ............................................................................................. 273
15 Einrichtung von ssh ............................................................................................ 281
16 Samba 4 und Firewalls ....................................................................................... 285
17 Schemaerweiterung für Zarafa-Groupware ............................................... 289
TEIL VI Der Workshop zum Buch18 Jetzt alles zusammen ......................................................................................... 297
Auf einen Blick
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 5 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: samba4
Inhalt
Inhalt
Geleitwort ........................................................................................................................................ 12
Vorwort ............................................................................................................................................ 14
Über dieses Buch ............................................................................................................................. 17
1 Grundlagen zu den Protokollen 21
1.1 Das Protokoll »SMB« ........................................................................................................ 21
1.2 Das Protokoll »NetBIOS« ................................................................................................. 24
TEIL I Einrichtung und Verwaltung einer Domäne
2 Vorbereitung und Installation 29
2.1 Vorbereitungen ................................................................................................................. 29
2.1.1 Die SerNet-Pakete zu Samba4 ...................................................................... 30
2.1.2 Konfiguration des ersten Domaincontrollers (DC) ...................................... 32
2.1.3 Erster Start des Samba4-Servers .................................................................. 36
2.2 Testen des Domaincontrollers ........................................................................................ 37
2.2.1 Testen der Serverports ................................................................................... 37
2.2.2 Testen des DNS-Servers ................................................................................. 38
2.2.3 Test des Verbindungsaufbaus ....................................................................... 38
2.2.4 Test des Kerberos-Servers .............................................................................. 39
2.2.5 Testen des LDAP-Servers ................................................................................ 40
2.3 Konfiguration des Zeitservers ........................................................................................ 42
3 Die Benutzerverwaltung 43
3.1 Benutzer- und Gruppenverwaltung über die Kommandozeile ............................... 44
3.1.1 Verwaltung von Gruppen über die Kommandozeile .................................. 45
3.1.2 Verwaltung von Benutzern über die Kommandozeile ................................ 50
3.1.3 Ändern und Suchen von Benutzern mit den ldb-tools ............................... 55
3.1.4 Verwendung von »ldapsearch« ..................................................................... 61
5
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 6 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: samba4
Inhalt
3.2 Die »Remote Server Administration Tools«(RSAT) ..................................................... 63
3.2.1 Einrichtung der »Remote Server Administration Tools«(RSAT) ................. 63
3.2.2 Benutzer- und Gruppenverwaltung mit den »RSAT« ................................. 67
3.3 Benutzer- und Gruppenverwaltung mit dem »LAM« ................................................ 67
3.3.1 Installation des LAM ....................................................................................... 68
3.3.2 Konfiguration des »LAM« .............................................................................. 70
3.3.3 Arbeiten mit dem LAM ................................................................................... 77
4 Verwaltung von Freigaben und Logonskripten 83
4.1 Freigabenverwaltung über die Datei »smb.conf« ...................................................... 84
4.2 Verwaltung der Freigaben über die Registry ............................................................... 86
4.2.1 Erstellen einer Freigabe in der Registry ........................................................ 88
4.2.2 Zugriff auf eine Freigabe aus der Registry ................................................... 90
4.2.3 Erweitern einer Freigabe in der Registry ...................................................... 92
4.2.4 Sichern der Freigabeeinstellungen aus der Registry ................................... 93
4.2.5 Löschen einer Freigabe aus der Registry ...................................................... 94
4.2.6 Wiederherstellen von Freigaben in der Registry ......................................... 94
4.3 Spezielle Freigaben ........................................................................................................... 94
4.3.1 Die Freigabe der Heimatverzeichnisse ......................................................... 95
4.3.2 Einrichtung der Freigabe für servergespeicherte Profile ............................ 99
4.3.3 Die Freigaben »sysvol«und »netlogon« ........................................................ 101
4.4 Samba und das »Distributed File System«(DFS) ......................................................... 101
4.4.1 Grundlagen DFS .............................................................................................. 102
4.4.2 Samba4 als DFS-Proxy ................................................................................... 102
4.4.3 Einrichtung einer DFS-Freigabe mit DFS-Link .............................................. 103
4.5 Logonskripte ...................................................................................................................... 104
4.5.1 Erstellen eines Logonskriptes ........................................................................ 105
4.5.2 Zuweisung der Logonskripte ......................................................................... 105
5 Das Dateisystem 107
5.1 Dateisystemberechtigungen .......................................................................................... 107
5.1.1 Aufhebung der Vererbung ............................................................................. 110
5.1.2 Ändern des Besitzers ...................................................................................... 114
6
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 7 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: samba4
Inhalt
5.2 Dateisystemquotas .......................................................................................................... 117
5.2.1 Installation und Aktivierung der Quotas ..................................................... 117
5.2.2 Journaling-Quotas .......................................................................................... 119
5.2.3 Quota-Einträge verwalten ............................................................................. 120
5.3 Viren scannen mit »scannedonlyd« .............................................................................. 125
5.3.1 Herunterladen der Pakete ............................................................................. 126
5.3.2 Installation der Abhängigkeiten ................................................................... 126
5.3.3 Kompilieren des »scannedonlyd« ................................................................. 128
5.3.4 Konfiguration des Daemons ......................................................................... 130
5.3.5 Testen mit einer Virensignatur ..................................................................... 135
5.3.6 Anpassen der Freigabe ................................................................................... 136
6 Der Einsatz von Gruppenrichtlinien 139
6.1 Gruppenrichtlinien – Grundlagen ................................................................................. 139
6.1.1 Verwaltung der GPOs mit den RSAT ............................................................. 140
6.1.2 Erste Schritte mit dem Gruppenrichtlinieneditor ....................................... 140
6.1.3 Erstellen einer Gruppenrichtlinie .................................................................. 142
6.1.4 Verknüpfung der Gruppenrichtlinie mit einer OU ...................................... 145
6.1.5 Verschieben der Benutzer und Gruppen ...................................................... 147
6.2 GPOs über die Kommandozeile ..................................................................................... 148
TEIL II Mitglieder in der Domäne
7 Verwaltung von Clients in der Domäne 153
7.1 Hinzufügen eines Windows-Clients in die Domäne .................................................. 153
7.2 Hinzufügen eines Linux-Clients zur Domäne .............................................................. 156
7.2.1 Konfiguration der Authentifizierung ........................................................... 164
7.3 Zugriff von Linux-Clients auf Samba-Freigaben ......................................................... 165
7.3.1 Die Verwendung der Datei »/etc/fstab« ...................................................... 165
7.3.2 Mounten über »pam_mount« ...................................................................... 169
7.4 »sssd«versus »winbind« .................................................................................................. 171
7.4.1 Installation und Konfiguration von »sssd« .................................................. 172
7.4.2 »sssd«und »apparmor« ................................................................................. 176
7.5 Das grafische Login ........................................................................................................... 177
7
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 8. Mai 2014, 15:00 Uhr Umlaut-Check: äöüÄÖÜ.
S. 8 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: samba4
Inhalt
8 Zusätzliche Server in der Domäne 179
8.1 Einrichten eines zusätzlichen Linux-Fileservers .......................................................... 179
8.1.1 Umstellen der Heimatverzeichnisse ............................................................. 181
8.1.2 Umstellung der Profilverzeichnisse .............................................................. 182
8.1.3 Weitere Freigaben .......................................................................................... 183
8.2 Einrichten eines zusätzlichen Samba 4-Domaincontrollers ..................................... 185
8.2.1 Installation des neuen DCs ............................................................................ 186
8.2.2 Konfiguration des DNS-Servers ..................................................................... 186
8.2.3 Konfiguration des zweiten DCs .................................................................... 191
8.2.4 Testen des neuen DCs .................................................................................... 193
8.2.5 Replikation der Freigabe »sysvol« ................................................................. 198
9 Konfiguration über die Registry 205
9.1 Die Registry-Datenbank .................................................................................................. 206
9.2 Das Kommando »net conf« ............................................................................................ 209
9.3 Verlagern der [global]-Section in die Registry ............................................................ 210
TEIL III Erweiterte Administration
10 Sicherung der Einstellungen 219
10.1 Sicherung der Datenbanken ........................................................................................... 219
10.2 Wiederherstellung der Datenbanken ........................................................................... 225
11 Wiederherstellung von gelöschten Objekten 227
11.1 Wo und wie werden gelöschte Objekt abgelegt? ...................................................... 227
11.2 Festlegen des »Function Level«der Domäne ............................................................... 229
11.3 Was kann wiederhergestellt werden? .......................................................................... 230
11.4 Wiederherstellung ohne »Recycle-Bin« ....................................................................... 230
11.5 Wiederherstellung mit »Recycle-Bin« .......................................................................... 234
8
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 9 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: samba4
Inhalt
TEIL IV Migration
12 Die Migration einer bestehenden Domäne 243
12.1 Migration von Samba 3 ................................................................................................... 243
12.1.1 Migration einer »tdb«-Backend-Domäne .................................................... 244
12.1.2 Migration der Benutzer und Gruppen aus einem openLDAP ..................... 250
12.2 Migration eines Windows-Servers ................................................................................ 255
12.2.1 DNS-Einträge erstellen und prüfen .............................................................. 255
12.2.2 Global Catalog umziehen .............................................................................. 256
12.2.3 Übertragung der FSMO-Rollen ...................................................................... 256
12.2.4 Prüfen der Gruppenrichtlinien ...................................................................... 257
TEIL V Samba 4 im Netzwerk
13 Samba 4 als Printserver 261
13.1 Vorbereitungen ................................................................................................................. 261
13.1.1 Privilegien für die Druckerverwaltung ......................................................... 262
13.2 Vorbereitungen des CUPS-Drucksystems .................................................................... 264
13.3 Einrichten der Freigaben ................................................................................................. 265
13.4 Hochladen der Drucktreiber ........................................................................................... 267
13.5 Zuordnung des Druckertreibers ..................................................................................... 269
13.6 Verbinden mit dem Drucker ........................................................................................... 271
14 WINS und Samba 4 273
14.1 Einrichten des Knotentyps .............................................................................................. 274
14.2 Konfiguration des »WINS«-Servers ............................................................................... 276
14.3 Einrichten der Replikation ............................................................................................... 276
14.4 Backup und Recovery der WINS-Daten ........................................................................ 277
14.5 Testen der WINS-Server ................................................................................................... 278
9
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 10 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: samba4
Inhalt
15 Einrichtung von ssh 281
15.1 Einrichtung des ssh-Servers ............................................................................................ 281
15.2 Einrichten des Clients ....................................................................................................... 282
16 Samba4 und Firewalls 285
16.1 Ports auf einem Domaincontroller ................................................................................ 285
16.2 Ports auf einem Fileserver .............................................................................................. 287
17 Schemaerweiterung für Zarafa-Groupware 289
17.1 Vorbereitung der Installation ......................................................................................... 289
17.2 Installation der Schemaerweiterung ............................................................................ 291
17.3 Verwaltung der Zarafa-Eigenschaften .......................................................................... 292
TEIL VI DerWorkshop zum Buch
18 Jetzt alles zusammen 297
18.1 Das Unternehmen ............................................................................................................ 297
18.2 Planung des Active Directory ......................................................................................... 299
18.3 Installation des ersten Domaincontrollers .................................................................. 30118.3.1 Einrichtung des Zeitservers ........................................................................... 303
18.4 Installation des zweiten Domaincontrollers ............................................................... 304
18.5 Replikation der Freigabe »sysvol« ................................................................................. 308
18.6 Erster Teil der Konfiguration des Fileservers ............................................................... 310
18.7 Aufbau der Active Directory-Struktur ........................................................................... 31518.7.1 Anlegen der ersten Gruppen ......................................................................... 31618.7.2 Anlegen der Benutzervorlagen ..................................................................... 31818.7.3 Gruppenrichtlinien ......................................................................................... 32118.7.4 Prüfen der Gruppenrichtlinien auf der Kommandozeile ............................ 325
10
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 11 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: samba4
Inhalt
18.8.1 Festplattenkontingente ................................................................................. 32818.8.2 Dateisystemstruktur und Freigaben ............................................................ 33218.8.3 Die Logonskripte ............................................................................................. 33718.8.4 Bereitstellung der Laufwerke über Gruppenrichtlinien ............................. 338
18.9 Einrichtung des Printservers ........................................................................................... 34218.9.1 Konfiguration von CUPS ................................................................................ 34318.9.2 Einrichtung der Freigaben für den Printserver ............................................ 34318.9.3 Zuweisung der Drucker über Gruppenrichtlinien ....................................... 345
18.10 Nachwort zumWorkshop ............................................................................................... 346
Index ............................................................................................................................... .................. 348
11
18.8 Zweiter Teil der Konfiguration des Fileservers ............................................................ 328
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 348 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: samba4.ind , Aktueller Job: samba4
Index
Index
/etc/profile 168
[global]-Section 210
A
acl 107
apparmor 176
apt-get 30
apt-get update 157
apt-transport-https 30
Ausfallsicherheit 179
B
Backup 277
Baumstruktur 208
Benutzerschablone 318
Benutzerverwaltung 43
bind9 29
BIND9_DLZ 34
BIND9_FLATFILE 34
C
cifs 165
Kerberos 165
pam_mount 165
clamav 125
Clients 153
DNS-Server 153
TGT 165, 169
Computersuchdienst 21, 273
Cron-Job 203
CUPS 261, 264
D
Dateisystem 107
Dateisystemquotas 117
Dateisystemrechte 107
Besitzer 114
Vererbung 110
Debian-Wheezy 29
Desaster Recovery 219
DFS 101
DFS-Link 102
DFS-Proxy 102
DFS-Server 103
DFS-Link 103
DFS-Proxy 102
Distributed File System 101
DNS-Server 33, 190
Domaincontroller 153
Druckertreiber 267
E
edquota 122
edquote 123
EICAR 135
enablerecyclebin 234
exportkeytab 173
F
fake-root 243
Festplattenkontingent 117, 328
Firewall 285
netstat 286, 288
Ports DC 285
Ports Fileserver 287
Forward-Lookupzone 186
FQDN 154
Freigaben 83, 84
directory security mask 86
export 88
hide unreadable 85
HKLM 87
Logonskript 94
read only = yes 84
Registry 86
registry shares = yes 90
rpc 86
security mask 86
smbclient 90
tdbtool 86
348
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 349 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: samba4.ind , Aktueller Job: samba4
Index
template homedir 95
users 97
Freigabeverwaltung 84
freshclam 127
FSMO 198
PDC-Master 198
fstab 29
Function Level 227, 229
G
Garbage-Collection 227
getent passwd 181
Global Catalog 256
GPO 139
Gruppenrichtlinien 94, 139
samba-tool gpo 139
Verknüpfung 146
Gruppenrichtlinieneditor 140
Gruppenrichtlinienobjekt 141
Gruppenrichtlinienverwaltung 142
Gruppenrichtlinienverwaltungs-Editor 143
H
Heimatverzeichnis 95, 181
heimdal-clients 39
I
ID-Mapping 39, 44, 48, 108, 163, 179
idmap config 180
Init-Skript 36
Installation
Public Key 30
Repository 30
sources.list 30
interfaces 35
dns-nameservers 35
dns-search 35
J
Journaling-Quotas 119
K
Kerberos-Server 29, 39
Kerberos-Tickets 164
Keyring 31
kinit 39
klist 39, 164
Knotentyp 274
L
LAM 67, 68
Accounttypen 71
LDAP-Account-Manager 43, 44, 67
Baumansicht 79
installieren 68
konfigurieren 70
ldapsearch 61
ldbedit 60, 277
ldbmodify 60
ldbsearch 40
ldif-Datei 60
lightdm 177
Linux-Client 156
winbind 158
Linux-Fileserver 179
LMhosts 274
Logonskript 83, 94, 337
M
Masterbrowser 273, 279
Migration 243
/etc/group 249
Betriebsmodus 255
FSMO 255, 257
Global Catalog 256
In-Place 243
openLDAP 250
Provisioning 244
smbpasswd 243
tdb-Dateien 243
Windows 2000 255
Windows-Server 255
wins support = yes 245
msDS-deletedObjectLifetime 234
349
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 350 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: samba4.ind , Aktueller Job: samba4
Index
N
Nameserver 35
NetBEUI 24
NetBIOS 21, 24, 273
NetBIOS-Domainname 33
netlogon 36, 39, 94, 104
netstat 37, 201
Netzwerkumgebung 273
nmbd 24
nmblookup 278
NTDS-Setting 256
ntlm 170
NTP 42
ntp.conf 42
O
objectCategory 239
Onlinevirenscanners 107
P
PAM 164
PAM-Einrichtung 179
PAM-Module 156
pam_mount 165, 169
Passwort 51
pdbedit 44
PDC-Master 199
Point’n’Print 261
Printserver 261
Point’n’Print 269
print$ 265
printers 265
Privilegien 262
rpcclient 270
Systemprivilegien 262
Profile 99
Profilverzeichnis 182
Protokolle 21
Provisioning 244
PTR-Record 188
Public Key 30
Q
Quota 117
aqouta.group 119
aquota.user 119
edquota 120
fstab 117
grpquota 117
Hardlimit 121
journaling quotas 119
quotacheck 118
quotaon 120
repquota 123
Softlimit 121
usrquota 117
Quota-Einträge 120
R
Realm 33
Recovery 277
Recycle-Bin 227, 234
Registrierungs-Editor 275
Registry 83, 86, 205, 208, 224
binaries 206
Hive 206
HKLM 206
integer 206
net conf 209
registry shares = yes 210
samba-regedit 208
string 206
Remote Server Administration Tools 43, 63
Replikation 198, 276
repquota 122
resolv.conf 35
resolvconf 35
Resolver 38
Reverse-Auflösung 193
Reverse-Lookupzone 187
rfc2307-Schema 172
RID 163
RSAT 43, 63
rsync 198, 199
dry-run 202
rsyncd 201
rsyncd.conf 200
350
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 351 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: samba4.ind , Aktueller Job: samba4
Index
S
sam.ldb 234
Samba-Freigaben 165
Samba-Ports 37
samba-tool 32, 33, 44
create username 51
disable user 53
group add 47
group addmembers 49
group list 45
group listmembers 47
provision 33
user 50
user delete 54
user enable 53
user list 51
samba4wins 274
scannedonly 125
scannedonlyd 125
Schemaerweiterung 290
Schemamaster 289
SePrintOperatorPrivilege 269
sernet-samba-ad 186
Server 179
Serverports 37
setfacl 29
setfattr 29
Sicherung 219
SID S-1-22-2-0 108
Single sign-on 281
SMB 21
smb.conf 153, 209, 224
SMB2 22
SMB3 24
smbclient 38
smbd-Prozess 83
smbpasswd 243
ssh 281
net ads keytab 282
ssh-Server 281
ssh_config 282
sshd_config 281
sssd 171
sysvol 36, 39, 94, 101, 185, 198, 224
Replikation 198
T
tdb-Datei 224
tdb-Datenbank 86
tdbdump 87, 163
tdbtool 86
testparm 214
tombstoneLifetime 234
U
user_xattr 107
V
Verbindungsaufbau 38
Vererbung 110
VFS 125
Virenscanner 125
clamav 125
freshclam 127
insserv scannedonlyd 134
scannedonly 125
scannedonlyd 125
socket 134
Virensignatur 135
Virtual File System Module 125
W
wbinfo -u 161, 180
wbinfo-g 161
Wiederherstellung 225
winbind 48, 156, 171, 211
Windows 7-Client 153
Windows Remote Server Administration Tools
(RSAT) 44, 63
Windows-Client 153
Windows-Domaincontroller 29
Windows-Server 153
WINS 273
Replikation 277
Workshop 297
Benutzerschablonen 318
Druckertreiber 344
351
Stefan Kania – Samba4 Galileo Press, ISBN: 978-3-8362-2973-9Layout: gp.cls, Version 3.5.015 (9th April, 2014), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 5. Mai 2014, 13:01 Uhr Umlaut-Check: äöüÄÖÜ.
S. 352 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – normal breit – Zoom auf 100.0%Aktuelle Quelldatei: samba4.ind , Aktueller Job: samba4
Index
Festplattenkontingent 310, 328
Forwarder 303
fstab 328
Gruppenrichtlinien 321
Heimatverzeichnis 313
hide unreadable 332
interfaces 303
Logonskript 337
Namensstandard 300
netlogon 309
nsswitch.conf 313
Organisationseinheiten 316
Organisationsstruktur 299
Partitionierung 310
Printserver 342
Profile 314
Provisioning 301
Quotas 310, 328
Registry 312
Replikationsbenutzer 309
Reverse-Lookupzone 305
sysvol 309
sysvol-Replikation 308
Zeitserver 303
X
xinetd 199, 201
xinetd.d 199
Z
Zarafa 289
zarafaads.exe 292
Zeitserver 42, 303
352
Wir hoffen sehr, dass Ihnen diese Leseprobe gefallen hat. Gerne dürfen Sie diese Leseprobe empfehlen und weitergeben, allerdings nur vollständig mit allen Seiten. Die vorliegende Leseprobe ist in all ihren Teilen urheberrecht-lich geschützt. Alle Nutzungs- und Verwertungsrechte liegen beim Autor und beim Verlag.
Teilen Sie Ihre Leseerfahrung mit uns!
Stefan Kania hatte seinen ersten Kontakt mit Linux im Jahr 1993 während seiner Ausbildung zum Informatiker am b.i.b E.V. in Paderborn. Seit 1997 ist er freiberuflich als Consultant und Trainer tätig. Seine Schwerpunkte liegen in der Implementierung von Samba und LDAP sowie in Schulungen zu beiden Themen.
Stefan Kania
Samba 4 – Das Praxisbuch für Administratoren352 Seiten, gebunden, Juni 2014 39,90 Euro, ISBN 978-3-8362-2973-9
www.galileo-press.de/3664
Wissen, wie’s geht.