Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

NetBIOS-Erbe

Im Gegensatz zum AD-Domänen-Namen kann der NetBIOS-Rechnername nur maximal 15 Zeichen umfassen. NetBIOS ist ein auf Windows-Systemen verwendetes Netzwerkprotokoll zur Namensauflösung und Netzwerkkommunikation, das seinerseits auf TCP/IP aufsetzte und von Samba 3 durch den Systemdienst »nmbd« abgebildet wird. Bei Univention entspricht der NetBIOS-Name eines UCS-Systems per Default auch dem UCS-Rechner-Namen.

Ein abweichender NetBIOS-Name lässt sich bei Bedarf mithilfe der Univention Configuration-Registry-Variable »samba/netbios/name« als Alias konfigurieren. Eine native Active-Directory-Umgebung stellt übrigens keine NetBIOS-Dienste mehr zur Verfügung. Dass sie bei Univention auch in einer AD-Umgebung auf Basis von Samba 4 aktiviert sind, lässt sich über die Univention-Configuration-Registry-Variable »samba4/service/nmb« abändern.

Im nächsten Schritt kümmert sich der Installations-Assistent um das per Default automatische, aber auch manuell mögliche Partitionieren. UCS verwendet per Default eine 500 MByte kleine Boot-Partition und verteilt den Rest des zur Verfügung stehenden Platzes in einer LVM-Volume-Gruppe. Erst nach der Konfiguration des Boot-Loaders im Folgeschritt kann und muss der Amin gegebenfalls die Netzwerk-Konfiguration anpassen. Neben einer für den Produktiveinsatz zu empfehlenden statischen IPv4-Konfiguration gibt es die Möglichkeit, einen DNS-Fowarder einzutragen, was in Anbetracht der derzeit noch nicht zur Gänze behobenen DNS-Probleme von Samba 4 empfehlenswert ist.

Ist das Netzwerk konfiguriert, kann sich der Administrator im Rahmen der Softwareauswahl im Schritt »Software« explizit um den Einsatz des UCS als Domänen-Controller kümmern. Der Samba-4-Betrieb setzt die Software-Komponente »Active Directory-kompatibler Domänencontroller (Samba)« voraus. Alternativ oder zusätzlich steht auch die Komponente »NT-kompatibler Domänencontroller (Samba 3)« zur Verfügung. Beide Komponenten lassen sich nachträglich im laufenden Betrieb durch Installieren der Pakete »univention-samba« (Samba 3) beziehungsweise »univention-samba4« (Samba 4) einspielen. Allerdings muss der Admin bei einer nachträglichen Installation anschließend das Kommando »univention-run-joinscripts« aufrufen.

Auf UCS-Memberservern heißt die Installer-Komponente »Windows Memberserver (Samba 3 / Samba 4)« , die ebenfalls nachträglich durch Auswahl der Pakete »univention-samba« und »winbind« installierbar ist. Die dritte Software-Komponente »Active Directory Connector« ist dafür gedacht, dass sich der UCS bidirektional oder unidirektional mit einer auf einem nativen Microsoft Windows Server betriebenen AD-Domäne synchronisiert (Abbildung 1). Univention empfiehlt außerdem, auf allen Samba-Domänen-Controllern die Signierung der NTP-Pakete zu aktivieren, weil die exakte Zeitsynchronisation für eine korrekte Authentifizierung via Kerberos essenziell ist.

Abbildung 1: Erst durch die Auswahl der passenden Software-Komponente wird der UCS zum Domänen-Controller, auch wenn der Installer schon vorher einen Domänen-Namen haben und speichern möchte.

Der Univention Corporate Server pflegt und nutzt im Active-Directory-Betrieb zwei Verzeichnisdienste. Da die Samba-Benutzerkonten unter Samba 4 vollständig von Samba verwaltet werden, kümmert sich beim UCS der interne Systemdienst »univention-S4-connector« um das Synchronisieren zwischen dem auf OpenLDAP basierenden Verzeichnisdienst des UCS und Samba. Status-Informationen finden sich in der Log-Datei »/var/log/univention/connector-s4.log« .

Legt der Admin etwa mit Windows-Remote-Verwaltungswerkzeugen einen Benutzer im Active Directory (Samba 4) an, landet er automatisch auch im OpenLDAP. Der »univention-s4-connector« wird übrigens bei Auswahl der Systemrollen »Domänencontroller Master« und »Domänencontroller Backup« über den Univention Installer automatisch installiert. Wer die Samba-Pakete manuell installiert, muss auch das Paket »univention-s4-connector« manuell nachinstallieren. Die Konfiguration des AD-Domänen-Controllers im Univention Corporate Server ist damit insoweit abgeschlossen, dass es Windows-Clients möglich ist, der Active-Directory-Domäne beizutreten (Join).

Möchte sich ein Benutzer im Samba-3-Betrieb an einer NT-Domäne anmelden, authentifiziert ihn UCS mit Benutzernamen und Passwort gegen seinen LDAP-Verzeichnisdienst. Auch Clients mit Windows-Betriebssystemen jeglicher Coleur (ab XP aufwärts) werden vom UCS wie in Windows NT-Domänen über das NTLMv2-Protokoll authentifiziert. Ist dagegen der Windows-Client, an dem sich der Benutzer anmelden möchte, mit einem Samba-4-Server "gejoint", erhält er bei der Anmeldung ein Kerberos-Ticket, das dann für die weitere Authentifizierung zum Einsatz kommt und alleine für den Zugriff auf sämtliche Ressourcen der Domäne als Grundlage dient.

Weiterführende Konfiguration

Aus praktischer Sicht ist die Samba-4-Konfiguration damit jedoch keinesfalls erledigt, denn der Admin muss sich im Alltag auch um das Konfigurieren des Authentifizierungsdienstes im Detail sowie um Rechner/Benutzer-Profile, Datei- und Druck-Dienste und speziell um das automatische Exportieren der Heimat-Verzeichnisse der Benutzer kümmern. Eine weiterführende Auseinandersetzung sprengt allerdings den Rahmen dieses Beitrages. Dass der UCS auch in diesen Punkten umfassende Unterstützung über sein Management-Interface und über Systemvariablen bietet, ist lobenswert. Eine Bewertung würde aber der Zielsetzung der beiden Produkte nicht gerecht: UCS als für den Produktiv-Einsatz gedachter Small Business Server mit Active-Directory-Unterstützung gegenüber der Samba-Appliance von SerNet als reines Samba-4-Test-Setup.

Die vom UCS zur Verfügung gestellten Dateidienste unterstützen bei Freigaben auf Basis von CIFS auch ACLs, sofern das darunter liegende Dateisystem des Samba-Servers diese ebenfalls unterstützt (Ext3, Ext4 und XFS). Dann lassen sich ACLs auch von Windows-Clients aus verwenden. Samba 4 kann Dateidienste wahlweise mit dem eigenen virtuellen Dateiserver NTVFS zur Verfügung stellen – was zwingend ein Dateisystem mit XATTR-Unterstützung voraussetzt – oder den eingebetteten Samba-3-Dateiserver S3FS verwenden.

In der Praxis empfiehlt es sich aber ohnehin, Datei- und Druckdienste, sowie Authentifizierungsdienste voneinander zu trennen. Laufen Authentifizierungsdienste auf einem separaten auf Samba 4 basierenden Domänen-Controller, neigen viele Admins, wie auch die Univention-Entwickler dazu, für den Datei- und Druck-Server das seit Jahrzehnten ausgereifte Samba 3 zu verwenden. Damit ist unter anderem gewährleistet, dass hohe Last auf einem Dateiserver nicht zu Störungen im Anmeldedienst führt.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019