Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

NetBIOS-Erbe

Im Gegensatz zum AD-Domänen-Namen kann der NetBIOS-Rechnername nur maximal 15 Zeichen umfassen. NetBIOS ist ein auf Windows-Systemen verwendetes Netzwerkprotokoll zur Namensauflösung und Netzwerkkommunikation, das seinerseits auf TCP/IP aufsetzte und von Samba 3 durch den Systemdienst »nmbd« abgebildet wird. Bei Univention entspricht der NetBIOS-Name eines UCS-Systems per Default auch dem UCS-Rechner-Namen.

Ein abweichender NetBIOS-Name lässt sich bei Bedarf mithilfe der Univention Configuration-Registry-Variable »samba/netbios/name« als Alias konfigurieren. Eine native Active-Directory-Umgebung stellt übrigens keine NetBIOS-Dienste mehr zur Verfügung. Dass sie bei Univention auch in einer AD-Umgebung auf Basis von Samba 4 aktiviert sind, lässt sich über die Univention-Configuration-Registry-Variable »samba4/service/nmb« abändern.

Im nächsten Schritt kümmert sich der Installations-Assistent um das per Default automatische, aber auch manuell mögliche Partitionieren. UCS verwendet per Default eine 500 MByte kleine Boot-Partition und verteilt den Rest des zur Verfügung stehenden Platzes in einer LVM-Volume-Gruppe. Erst nach der Konfiguration des Boot-Loaders im Folgeschritt kann und muss der Amin gegebenfalls die Netzwerk-Konfiguration anpassen. Neben einer für den Produktiveinsatz zu empfehlenden statischen IPv4-Konfiguration gibt es die Möglichkeit, einen DNS-Fowarder einzutragen, was in Anbetracht der derzeit noch nicht zur Gänze behobenen DNS-Probleme von Samba 4 empfehlenswert ist.

Ist das Netzwerk konfiguriert, kann sich der Administrator im Rahmen der Softwareauswahl im Schritt »Software« explizit um den Einsatz des UCS als Domänen-Controller kümmern. Der Samba-4-Betrieb setzt die Software-Komponente »Active Directory-kompatibler Domänencontroller (Samba)« voraus. Alternativ oder zusätzlich steht auch die Komponente »NT-kompatibler Domänencontroller (Samba 3)« zur Verfügung. Beide Komponenten lassen sich nachträglich im laufenden Betrieb durch Installieren der Pakete »univention-samba« (Samba 3) beziehungsweise »univention-samba4« (Samba 4) einspielen. Allerdings muss der Admin bei einer nachträglichen Installation anschließend das Kommando »univention-run-joinscripts« aufrufen.

Auf UCS-Memberservern heißt die Installer-Komponente »Windows Memberserver (Samba 3 / Samba 4)« , die ebenfalls nachträglich durch Auswahl der Pakete »univention-samba« und »winbind« installierbar ist. Die dritte Software-Komponente »Active Directory Connector« ist dafür gedacht, dass sich der UCS bidirektional oder unidirektional mit einer auf einem nativen Microsoft Windows Server betriebenen AD-Domäne synchronisiert ( Abbildung 1 ). Univention empfiehlt außerdem, auf allen Samba-Domänen-Controllern die Signierung der NTP-Pakete zu aktivieren, weil die exakte Zeitsynchronisation für eine korrekte Authentifizierung via Kerberos essenziell ist.

Abbildung 1: Erst durch die Auswahl der passenden Software-Komponente wird der UCS zum Domänen-Controller, auch wenn der Installer schon vorher einen Domänen-Namen haben und speichern möchte.

Der Univention Corporate Server pflegt und nutzt im Active-Directory-Betrieb zwei Verzeichnisdienste. Da die Samba-Benutzerkonten unter Samba 4 vollständig von Samba verwaltet werden, kümmert sich beim UCS der interne Systemdienst »univention-S4-connector« um das Synchronisieren zwischen dem auf OpenLDAP basierenden Verzeichnisdienst des UCS und Samba. Status-Informationen finden sich in der Log-Datei »/var/log/univention/connector-s4.log« .

Legt der Admin etwa mit Windows-Remote-Verwaltungswerkzeugen einen Benutzer im Active Directory (Samba 4) an, landet er automatisch auch im OpenLDAP. Der »univention-s4-connector« wird übrigens bei Auswahl der Systemrollen »Domänencontroller Master« und »Domänencontroller Backup« über den Univention Installer automatisch installiert. Wer die Samba-Pakete manuell installiert, muss auch das Paket »univention-s4-connector« manuell nachinstallieren. Die Konfiguration des AD-Domänen-Controllers im Univention Corporate Server ist damit insoweit abgeschlossen, dass es Windows-Clients möglich ist, der Active-Directory-Domäne beizutreten (Join).

Möchte sich ein Benutzer im Samba-3-Betrieb an einer NT-Domäne anmelden, authentifiziert ihn UCS mit Benutzernamen und Passwort gegen seinen LDAP-Verzeichnisdienst. Auch Clients mit Windows-Betriebssystemen jeglicher Coleur (ab XP aufwärts) werden vom UCS wie in Windows NT-Domänen über das NTLMv2-Protokoll authentifiziert. Ist dagegen der Windows-Client, an dem sich der Benutzer anmelden möchte, mit einem Samba-4-Server "gejoint", erhält er bei der Anmeldung ein Kerberos-Ticket, das dann für die weitere Authentifizierung zum Einsatz kommt und alleine für den Zugriff auf sämtliche Ressourcen der Domäne als Grundlage dient.

Weiterführende Konfiguration

Aus praktischer Sicht ist die Samba-4-Konfiguration damit jedoch keinesfalls erledigt, denn der Admin muss sich im Alltag auch um das Konfigurieren des Authentifizierungsdienstes im Detail sowie um Rechner/Benutzer-Profile, Datei- und Druck-Dienste und speziell um das automatische Exportieren der Heimat-Verzeichnisse der Benutzer kümmern. Eine weiterführende Auseinandersetzung sprengt allerdings den Rahmen dieses Beitrages. Dass der UCS auch in diesen Punkten umfassende Unterstützung über sein Management-Interface und über Systemvariablen bietet, ist lobenswert. Eine Bewertung würde aber der Zielsetzung der beiden Produkte nicht gerecht: UCS als für den Produktiv-Einsatz gedachter Small Business Server mit Active-Directory-Unterstützung gegenüber der Samba-Appliance von SerNet als reines Samba-4-Test-Setup.

Die vom UCS zur Verfügung gestellten Dateidienste unterstützen bei Freigaben auf Basis von CIFS auch ACLs, sofern das darunter liegende Dateisystem des Samba-Servers diese ebenfalls unterstützt (Ext3, Ext4 und XFS). Dann lassen sich ACLs auch von Windows-Clients aus verwenden. Samba 4 kann Dateidienste wahlweise mit dem eigenen virtuellen Dateiserver NTVFS zur Verfügung stellen – was zwingend ein Dateisystem mit XATTR-Unterstützung voraussetzt – oder den eingebetteten Samba-3-Dateiserver S3FS verwenden.

In der Praxis empfiehlt es sich aber ohnehin, Datei- und Druckdienste, sowie Authentifizierungsdienste voneinander zu trennen. Laufen Authentifizierungsdienste auf einem separaten auf Samba 4 basierenden Domänen-Controller, neigen viele Admins, wie auch die Univention-Entwickler dazu, für den Datei- und Druck-Server das seit Jahrzehnten ausgereifte Samba 3 zu verwenden. Damit ist unter anderem gewährleistet, dass hohe Last auf einem Dateiserver nicht zu Störungen im Anmeldedienst führt.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023