Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

Einrichten des Domainadministrators

Nichts geht in einer Windows-Domäne ohne den Domänenadministrator, der wiederum bestimmte Privilegien braucht, die ihm bestimmte Systemrechte gewähren, wie zum Beispiel das Recht, Clients zur Domäne hinzuzufügen. Eine Übersicht über alle Privilegien zeigt die folgende Tabelle 2 .

Tabelle 2

Privilegien

Privileg

Bedeutung

SeMachineAccountPrivilege

Hosts in Domäne aufnehmen

SeTakeOwnershipPrivilege

Besitz an Verzeichnisseinträgen übernehmen

SeBackupPrivilege

Unabhängig von Berechtigungen Daten lesen

SeRestorePrivilege

Unabhängig von Berechtigungen Daten schreiben

SeRemoteShutdownPrivilege

Systeme remote ausschalten

SePrintOperatorPrivilege

Für den Verwalter des Printservers

SeAddUsersPrivilege

Benutzer und Gruppen hinzufügen und diese verwalten

SeDiskOperatorPrivilege

Rechtevergabe in Windows-Freigaben

Die Liste der Privilegien zeigt auch das Kommando »rpcclient localhost -U% -c enumprivs« auf dem Samba-Server an.

Einerseits braucht der Domänenadministrator mindestens das Privileg »SeMachineAccountPrivilege« , andererseits kann nur ein Mitglied der Gruppe Domänenadministratoren Privilegien vergeben. Das bedeutet, der Domänenadministrator muss sich das Privileg selbst geben. Listing 6 zeigt, wie der Domänenadministrator dabei vorgehen muss.

Listing 6

Privilegienvergabe

 

Im ersten Schritt wird der entsprechende Linux-Benutzer angelegt, denn auch hier muss es immer einen Linux-Benutzer zum Samba-Benutzer geben, wie schon bei den Group Mappings. Ob der Administrator ein Linux-Passwort erhält, hängt davon ab, ob der Administrator sich später auch am Linux-System anmelden können soll. Wenn das nicht gewünscht ist, braucht er kein Linux-Passwort.

Im zweiten Schritt wird der Samba-Benutzer mit dem Kommando »pdbedit -a -u administrator -G 512 -c "[UX]"« angelegt. Hier ist es wichtig, dass auf jeden Fall mit »-G 512« die Gruppe Domainadmins als primäre Gruppe angeben wird. Die Flags »[UX]« legen fest, dass es sich um einen Benutzer ( »U« ) handelt und das Passwort nie abläuft ( »X« ).

Im dritten Schritt wird mit »su - administrator« die Identität des Benutzers »administrator« angenommen. Dann wird das Privileg »SeMachineAccountPrivilege« für ihn vergeben. Jetzt existiert ein Domänenadministrator, der später auch Clients in die Domäne aufnehmen kann.

Einrichten von Benutzern in der Domäne

Nachdem jetzt alle Voraussetzungen für den Betrieb einer Domäne geschaffen wurden, kann man nun damit beginnen, die Gruppen und die Benutzer einzurichten. Bei den Gruppen sollte der Admin dabei die folgenden Überlegungen anstellen:

  • Soll die Gruppe nur für die Vergabe von Berechtigungen auf diesem Host dienen? Dann ist lediglich eine Linux-Gruppe zu erzeugen, die Linux-Benutzer aufnimmt.
  • Soll die Gruppe dazu verwendet werden, um Benutzer zusammenzufassen und anschließend Berechtigungen auf einem anderen Fileserver in der Domäne zu vergeben? Dann spielt es keine Rolle, ob es sich um einen anderen Samba-Server oder einen Windows-Server handelt, es muss ein Group Mapping erzeugt werden. Alle weiteren Group Mappings können so angelegt werden, wie schon die Domänengruppen zur Vorbereitung der Domäne, nur das man jetzt den RID nicht vorgeben muss, er wird automatisch vergeben.

Alle weiteren Benutzer legt der Admin mit »pdbedit« an (genau wie im Beispiel den Domänenadministrator). Alle Einstellungen der Benutzer im folgenden Listing, lassen sich über Parameter beim Anlegen ändern. Alle Parameter und deren Beschreibung werden sehr gut in der Manpage zum Kommando »pdbedit« erklärt. Listing 7 zeigt, wie man ein Group Mapping und einen Benutzer anlegt.

Listing 7

Weitere Benutzer und Gruppen anlegen

 

Dieses Mal wurde bei dem Group Mapping der Name der Linux-Gruppe und der Name des Group Mappings identisch vergeben, das macht keine Probleme. Auch wird der RID hier nicht vorgegeben, sondern vom System automatisch ermittelt. Der Linux-Benutzer hat kein Passwort erhalten, da sich dieser Benutzer später nicht auf dem Linux-System anmelden soll, sondern nur auf einem Windows-Client in der Domäne. Nach diesem Muster lassen sich jetzt weitere Gruppen und Benutzer anlegen.

Die Gruppenmitgliedschaften der Benutzer regeln immer die Linux-Gruppen, das Group Mapping sorgt dafür, dass die Mitglieder auch auf den Windows-System in der Domäne bekannt sind.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023