Samba-4-Appliances von SerNet und Univention

© Dmitriy Melnikov, 123RF

Kuckucksnest

Kurz nachdem das Samba-Team Anfang Dezember 2012 die finale Version von Samba 4 fertigstellt hatte, haben die Firmen SerNet und Univention das neue Samba in ihre Produkte integriert. Mit deren Hilfe lässt sich ein auf Samba 4 basierender Active Directory Domänen Controller auf einfache Weise aufbauen und testen.
Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

Samba 4 ist aufgrund der neuen Active-Directory-Funktionalität ein für die gesamte IT-Welt wichtiger Meilenstein. Zwar widmet sich Samba ursprünglich und in erster Linie der Bereitstellung von Datei- und Druckdiensten über das SMB/CIFS-Protokoll auf einem Linux-Server, die bedeutendste neue Funktion in Samba 4 gilt aber den Authentifizierungsdiensten. So kann ein Linux-Server mit Samba 4 ohne Microsoft-Zutaten einen Active-Directory-Verzeichnisdienst für eine Windows-Domäne zur Verfügung stellen.

Der Univention Corporate Server verwendet in der seit Dezember verfügbaren Version 3.1 [1] die Samba-4-Version 4.0rc6, die von den Univention-Entwicklern in direkter Zusammenarbeit mit dem Samba-Team aus der Version 4.0rc1 kontinuierlich weiterentwickelt wurde. Die in Univentions Corporate Server für Datei- und Druckdienste oder beim Einsatz des UCS als NT-Domänen-Controller ebenfalls enthaltene Samba-3-Version ist auf dem Stand von Samba 3.6.8. Die Samba-4-Implementation in der aktuellen Version 0.6 der SerNet-Samba-Appliance [2] entspricht der stabilen Samba-Version 4.0 [3].

Samba-4-Struktur

Eine Samba-Domäne besteht aus mindestens einem auf Samba 4 basierenden Domänen-Controller, dessen Vertrauenskontext Windows-Clients als Mitglieder beitreten können. Bei Univention kann das außerdem noch ein so genannter UCS-Memberserver tun. Das geht deshalb, weil Univention in seinem Corporate Server Samba-4- und Samba-3-Komponenten miteinander integriert. Ein UCS-Memberserver bietet selbst keine Anmeldedienste, aber beispielsweise Datei- oder Druckdienste auf Basis von Samba 3, wobei die Anmeldung an einem UCS-Memberserver immer über die UCS-Anmeldedaten erfolgt.

UCS 3.1

Die Bremer Univention GmbH gehört zu den Early Adopters [4] von Samba 4, das es bereits seit über einem Jahr in seinem auf Debian 6 basierenden Univention Corporate Server (UCS) integriert. Dabei bescheinigen die Bremer der verwendeten Samba-4-Version aufgrund umfangreicher Tests, fit für den Produktiveinsatz zu sein. Univention bietet neben dem Active-Directory-zu-Samba-4-Migrationswerkzeug "Univention AT Takeover" mit seinem Active Directory Connector [5] auch die Möglichkeit eines Parallel-Betriebs mit existierenden Active-Directory-Diensten auf Basis von Microsoft Windows, was auch eine schrittweise Migration erlaubt. UCS 3.1 verwendet übrigens einen Linux-Kernel 3.2.30 und kann neben der Funktion als AD-Domänen-Controller auch zahlreiche andere Aufgaben als Small Business Server übernehmen.

Wer das folgende Setup nachvollziehen möchte, findet unter [6] eine für den privaten Einsatz kostenlose, funktional aber nicht eingeschränkte Version des UCS. Das Ncurses-basierte Basis-Setup des als Appliance konzipierten UCS sollte jedem Admin binnen weniger Minuten von der Hand gehen, zumal das UCS-3.1-Handbuch wertvolle Unterstützung liefert.

Demnach ist die Auswahl der Systemrolle »Domain Controller Master« für den UCS als Domänen-Controller, sowie für den Samba-Betrieb obligatorisch, denn Samba-4 lässt sich ausschließlich auf einem UCS-Domänen-Controller (Domain Controller Master) installieren. Trotzdem bezieht sich die Auswahl der Rolle »Domain Controller Master« primär auf den UCS als »Domänen Controller« in Univentions eigenem, auf einer sogenannten UCS-Domäne basierenden Infrastruktur- und Identify-Management-Konzept, das auf OpenLDAP aufsetzt. Das tut Samba 4 zwar ebenfalls, hat OpenLDAP aber integriert.

Der UCS-Installer möchte im folgenden Schritt »Optionen« zuerst den vollständigen Rechnernamen wissen. Der Name will sorgfältig überlegt sein, weil der Installer aus diesem unmittelbar den Domänen-Namen für eine Active-Directory-Domäne ableitet (der FQDN abzüglich des Host-Anteils), ebenso wie Vorschläge für die LDAP-Basis und den Namen der »Windows-Domäne« . Die Vorschläge für LDAP-Basis und »Windows-Domäne« lassen sich wunschgemäß abändern, nicht aber der Name der AD-Domäne.

Mit »Windows-Domäne« meint der Univention-Installer den NetBIOS-Rechnernamen des Systems und speichert den Wert in der UCS-Configuration-Registry-Variable (UCR) »windows/domain« , unabhängig davon, ob der Admin im letzten Schritt »Software« des Installers überhaupt eine der Software-Komponenten für den Samba3- oder Samba-4-Betrieb auswählt. Ferner dient der NetBIOS-Name auch im Domänen-Betrieb als Arbeitsgruppen-Name.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019