Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

Samba-4-Appliance von SerNet

Die Göttinger SerNet GmbH ist ein auf Open Source und Sicherheit spezialisierter Systemintegrator, der sich insbesondere auf Dienstleistungen rund um Samba spezialisiert hat. SerNet entwickelt Samba im Zusammenarbeit mit dem Samba-Team aus eigenen Antrieb und im Kundenauftrag weiter und ist außerdem der einzige Systemintegrator, der selbst Mitglieder des Samba-Core-Teams stellt. Die Göttinger haben unter anderem eine einfach einsetzbare, auf Debian basierende [7] Samba-Appliance entwickelt, mit der Admins die von der neuen Samba-Version 4 unterstützten Funktionen ebenfalls auf komfortable Weise testen können. Eine aktualisierte Version der SerNet-Appliance liegt diesem Heft bei.

Während die auf der letztjährigen CeBIT erstmals gezeigte und seit Mai 2012 offiziell zum Download verfügbare Version 0.1 noch auf der Preview von Samba 4 basierte, stellte SerNet seine Samba-Appliance kurz nach Freigabe der finalen Samba-Version 4.0 auf das stabile Samba 4 um. Die steht seit Dezember 2012 in der Version 0.6 mit stabilem Samba-4-Support zum Herunterladen zur Verfügung und ermöglicht das Aufsetzen eines Active-Directory-Domänen-Controllers auf Basis eines Debian-Servers mit wenigen Handgriffen. Zur diesjährigen CeBIT stellt SerNet eine erweiterte Version seiner Appliance vor, die auch Zarafa und Opsi integriert. AD-Schema-Dateien für dem Zarafa-Support sind bereits in der Version 0.6 enthalten.

Während Windows-Nutzer zum Einrichten eines Domänen-Controllers oder zum Heraufstufen eines gewöhnlichen Windows-Servers üblicherweise das grafische Werkzeug »dcpromo.exe« verwenden, müssen Samba-Nutzer normalerweise zur Kommandozeile greifen. Kernstück der Samba-Applicance von SerNet ist dagegen ein grafischer Assistent »dcpromo« zur Samba-4-Provisionierung, der sowohl Bestandteil der Installationsprozedur der Appliance ist, sich aber auch jederzeit nachträglich neu starten lässt, um etwa ein neues Setup aufzusetzen.

Die SerNet-Appliance basiert auf Debian 6 und setzt auf einen Kernel 3.2.0 von Debian-Backports mit Unterstützung für Microsoft Hyper-V. Die Appliance nutzt als Dateiserver den eingebetteten »S3FS« anstelle des Samba-4-eigenen »NTVFS« , der den SMB-Daemon aus Samba 3 innerhalb von Samba 4 startet, sodass auch Samba-3-Tools wie »smbpasswd« , »smbstatus« und »smbclient« weiter funktionieren. Das Verhalten entspricht der Voreinstellung von Samba 4. Ferner synchronisiert der interne NTP-Server von Samba 4 die Systemzeit, was insbesondere für die Kerberos-Authentifizierung unverzichtbar ist.

Am schnellsten führt die automatische Installation mit dem gewohnten Debian-Installer zum Ziel. Die automatische Installation im Text-Modus überschreibt beim Partitionieren die gesamte Festplatte. Wird kein DHCP-Server gefunden, bietet der Installer das manuelle Konfigurieren des Netzwerkes an, was vor allem für den Produktiveinsatz wichtig ist. Zum Ende der Basis-Installation legt das Systeme den User »sernet« für die Appliance an und konfiguriert ihn per Default für ein automatisches Login nach dem Reboot. Wahlweise kann der Admin ein individuelles Passwort festlegen. Das Root-Passwort ist »root« und sollte nach dem ersten Login geändert werden.

Danach startet der Installer das »dcpromo« -Skript zum Aufsetzen des Active-Directory-Domänen-Controllers. Das Tool lässt sich via Desktop-Icon auch nachträglich starten, um eine vollständige Neukonfiguration von Active Directory zu veranlassen. Mit den ersten drei Schritten erfragt das Skript den Hostnamen des Domänen-Controllers, per Default »DC« , sowie den vollständigen Realm, aus dem sich abzüglich des Hostnamens der AD-Domänen-Name ableitet. Den vorgeschlagenen NetBIOS-Namen erschließt »dcpromo« ebenfalls aus dem Realm.

Anschließend fragt »dcpromo« nach einem Passwort für den administrativen Account »Administrator« . Danach bietet das Skript an, einen DNS-Forwarder für Anfragen zu setzen, die der Samba-4-interne DNS nicht beantworten kann. Samba-4 bringt neben dem erwähnten NTP-Server auch einen internen DNS-Dienst mit, der allerdings nach nach Aussage der SerNet-Experten bisher nicht immer zuverlässig funktioniert.

Zum Abschluss der Konfiguration listet »dcpromo« die Einstellungen für den Domänen-Controller auf, was im Falle einer Re-Konfiguration das Stoppen sämtlicher laufenden Samba-Dienste zur Folge hat (Abbildung 2). Anschließend konfiguriert das Skript alle nötigen Samba-Dienste mit den gewählten Daten. Nach Fertigstellung weist »dcpromo« die wichtigsten Domänen-Parameter »NetBIOS Domain« , »DNS Domain« und »DOMAIN SID« aus und startet den Samba-Dienst.

Abbildung 2: Zum Abschluss gibt dcpromo eine Übersicht der gewählten Einstellungen.

Die Konfiguration des Domänen-Controllers ist damit zwar abgeschlossen und Windows7-Clients/Nutzer können ab sofort der Domäne beitreten, das »dcpromo« -Skript bietet aber im nächsten Schritt noch die Möglichkeit, die Zarafa-AD-Schema-Erweiterungen zu installieren. Wer plant, die Zarafa-Groupware auf der Samba-4-Maschine einzusetzen, sollte von der Möglichkeit Gebrauch machen, damit sich Zarafa-Nutzer später gegen das AD authentifizieren können.

Join it

Ist der Domänen-Controller einsatzbereit, kann der Admin mit einem geeigneten Windows-Client dem Vertrauenskontext der Domäne beitreten (Join). Für den Beitritt zur AD-Domäne geht der Admin genauso vor wie beim Anmelden an einer nativen Microsoft-Domäne. Hierzu klickt er unter »Systemsteuerung | System und Sicherheit | System« bei »Einstellungen für Computernamen, Domäne und Arbeitsgruppe« auf »Einstellungen ändern« und gibt den FQDN der gewünschten AD-Domäne an (Realm). Ist der für das System aufgrund der gewählten Netzwerk-Konfiguration (siehe unten) erreichbar, erscheint ein Anmelde-Dialog für die Domäne, und der Admin kann sich mit dem zuvor konfigurierten Administrator-Konto anmelden (Abbildung 3).

Abbildung 3: Läuft der Samba-Domain-Controller, können geeignete Windows-Clients dem Vertrauenskontext der Domäne beitreten.

Ein Join funktioniert allerdings nur dann zuverlässig und ohne weitere Konfiguration, wenn der Admin die IP-Adresse der SerNet-Samba-Appliance beziehungsweise des UCS als DNS-Server in der IP-Konfiguration des betreffenden Netzwerkadapters des Clients einstellt. Ein Blick ins »Netzwerk- und Freigabecenter« sollte bestätigen, dass der Join funktioniert hat.

Nach einem Reboot kann sich der Admin als administrativer Benutzer an der Domäne anmelden. Beim Anmelden ist ein kleiner Trick erforderlich, wenn der Account »Administrator« auch für das lokale Konto existiert. Klickt der Admin nur auf »Benutzer wechseln ...« , um vom lokalen zum Domänen-Login zu gelangen, wechselt Windows beim Tippen des letzten Buchstabens »r« wieder zum lokalen Anmelde-Dialog. Verwendet der Admin beim Benutzernamen stattdessen die Form »Domänenname\Administrator« , klappt auch das Domänen-Login.

Außerdem steht im Windows Explorer unter »Netzwerk« jetzt die Funktion »Active Directory durchsuchen« zur Verfügung, mit der der Admin den Verzeichnisdienst gezielt nach »Benutzer, Kontakte, Gruppen« , »Computer« , »Drucker« , »Freigegebene Ordner« durchsuchen kann (Abbildung 4).

Abbildung 4: Im Domänen-Betrieb kann der Windows-Explorer nach Objekten im AD suchen.

Die weitere Konfiguration kann dann wahlweise mit den mit Samba 4 gelieferten Kommandozeilen-Werkzeugen oder mit den Standard-Windows-Administrationswerkzeugen erfolgen.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019