Samba-4-Appliances von SerNet und Univention

© Dmitriy Melnikov, 123RF

Kuckucksnest

Kurz nachdem das Samba-Team Anfang Dezember 2012 die finale Version von Samba 4 fertigstellt hatte, haben die Firmen SerNet und Univention das neue Samba in ihre Produkte integriert. Mit deren Hilfe lässt sich ein auf Samba 4 basierender Active Directory Domänen Controller auf einfache Weise aufbauen und testen.
Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

Samba 4 ist aufgrund der neuen Active-Directory-Funktionalität ein für die gesamte IT-Welt wichtiger Meilenstein. Zwar widmet sich Samba ursprünglich und in erster Linie der Bereitstellung von Datei- und Druckdiensten über das SMB/CIFS-Protokoll auf einem Linux-Server, die bedeutendste neue Funktion in Samba 4 gilt aber den Authentifizierungsdiensten. So kann ein Linux-Server mit Samba 4 ohne Microsoft-Zutaten einen Active-Directory-Verzeichnisdienst für eine Windows-Domäne zur Verfügung stellen.

Der Univention Corporate Server verwendet in der seit Dezember verfügbaren Version 3.1 [1] die Samba-4-Version 4.0rc6, die von den Univention-Entwicklern in direkter Zusammenarbeit mit dem Samba-Team aus der Version 4.0rc1 kontinuierlich weiterentwickelt wurde. Die in Univentions Corporate Server für Datei- und Druckdienste oder beim Einsatz des UCS als NT-Domänen-Controller ebenfalls enthaltene Samba-3-Version ist auf dem Stand von Samba 3.6.8. Die Samba-4-Implementation in der aktuellen Version 0.6 der SerNet-Samba-Appliance [2] entspricht der stabilen Samba-Version 4.0 [3].

Samba-4-Struktur

Eine Samba-Domäne besteht aus mindestens einem auf Samba 4 basierenden Domänen-Controller, dessen Vertrauenskontext Windows-Clients als Mitglieder beitreten können. Bei Univention kann das außerdem noch ein so genannter UCS-Memberserver tun. Das geht deshalb, weil Univention in seinem Corporate Server Samba-4- und Samba-3-Komponenten miteinander integriert. Ein UCS-Memberserver bietet selbst keine Anmeldedienste, aber beispielsweise Datei- oder Druckdienste auf Basis von Samba 3, wobei die Anmeldung an einem UCS-Memberserver immer über die UCS-Anmeldedaten erfolgt.

UCS 3.1

Die Bremer Univention GmbH gehört zu den Early Adopters [4] von Samba 4, das es bereits seit über einem Jahr in seinem auf Debian 6 basierenden Univention Corporate Server (UCS) integriert. Dabei bescheinigen die Bremer der verwendeten Samba-4-Version aufgrund umfangreicher Tests, fit für den Produktiveinsatz zu sein. Univention bietet neben dem Active-Directory-zu-Samba-4-Migrationswerkzeug "Univention AT Takeover" mit seinem Active Directory Connector [5] auch die Möglichkeit eines Parallel-Betriebs mit existierenden Active-Directory-Diensten auf Basis von Microsoft Windows, was auch eine schrittweise Migration erlaubt. UCS 3.1 verwendet übrigens einen Linux-Kernel 3.2.30 und kann neben der Funktion als AD-Domänen-Controller auch zahlreiche andere Aufgaben als Small Business Server übernehmen.

Wer das folgende Setup nachvollziehen möchte, findet unter [6] eine für den privaten Einsatz kostenlose, funktional aber nicht eingeschränkte Version des UCS. Das Ncurses-basierte Basis-Setup des als Appliance konzipierten UCS sollte jedem Admin binnen weniger Minuten von der Hand gehen, zumal das UCS-3.1-Handbuch wertvolle Unterstützung liefert.

Demnach ist die Auswahl der Systemrolle »Domain Controller Master« für den UCS als Domänen-Controller, sowie für den Samba-Betrieb obligatorisch, denn Samba-4 lässt sich ausschließlich auf einem UCS-Domänen-Controller (Domain Controller Master) installieren. Trotzdem bezieht sich die Auswahl der Rolle »Domain Controller Master« primär auf den UCS als »Domänen Controller« in Univentions eigenem, auf einer sogenannten UCS-Domäne basierenden Infrastruktur- und Identify-Management-Konzept, das auf OpenLDAP aufsetzt. Das tut Samba 4 zwar ebenfalls, hat OpenLDAP aber integriert.

Der UCS-Installer möchte im folgenden Schritt »Optionen« zuerst den vollständigen Rechnernamen wissen. Der Name will sorgfältig überlegt sein, weil der Installer aus diesem unmittelbar den Domänen-Namen für eine Active-Directory-Domäne ableitet (der FQDN abzüglich des Host-Anteils), ebenso wie Vorschläge für die LDAP-Basis und den Namen der »Windows-Domäne« . Die Vorschläge für LDAP-Basis und »Windows-Domäne« lassen sich wunschgemäß abändern, nicht aber der Name der AD-Domäne.

Mit »Windows-Domäne« meint der Univention-Installer den NetBIOS-Rechnernamen des Systems und speichert den Wert in der UCS-Configuration-Registry-Variable (UCR) »windows/domain« , unabhängig davon, ob der Admin im letzten Schritt »Software« des Installers überhaupt eine der Software-Komponenten für den Samba3- oder Samba-4-Betrieb auswählt. Ferner dient der NetBIOS-Name auch im Domänen-Betrieb als Arbeitsgruppen-Name.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite