Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

Servergespeicherte Profile

Neben der zentralen Verwaltung der Home-Verzeichnisse ist die Verwaltung der servergespeicherten Profile ein weiterer wichtiger Punkt bei der Benutzerverwaltung. Damit die Profile der Benutzer zentral verwaltet werden können, muss als Erstes geprüft werden, ob das Dateisystem, auf dem sich die Profile befinden, Access Control Lists (ACLs) unterstützt. Ohne ACLs funktionieren die servergespeicherten Profile nicht. Bei Suse sind bei allen Dateisystemen, die die Installation anlegt, die ACLs schon aktiviert. Bei Debian und Ubuntu muss der Parameter nachträglich in der Datei »fstab« eingestellt werden. Dazu wird die Datei »/etc/fstab« wie im folgenden Beispiel angepasst:

UUID=ea1552d5-9756-4b13-9b1d-7e197e16e4b8/ ext3 errors=remount-ro,acl 0 1

Anschließend wird das Dateisystem neu gemoutet. Das geschieht mit dem Kommando »root@samba:~# mount -o remount,rw /« . Anschließend sollten die aktivierten ACLs nach der Eingabe von »mount« zu sehen sein.

Es ist sinnvoll, alle Dateisysteme, auf die von Windows aus zugegriffen werden soll, mit der Option »acl« zu mounten, denn dann lassen sich später in der Domäne über den Explorer eines Windows-Clients die Dateisystemrechte ändern.

Legt man das Verzeichnis für die Profilfreigabe an, ist darauf zu achten, dass die Rechte so gesetzt sind, dass »others« alle Rechte hat. Sonst kann das Verzeichnis für das Profil nicht angelegt werden, wenn der Benutzer sich das erste Mal anmeldet. Jetzt braucht es noch eine Freigabe für die Profile und die Anpassung der Benutzer. Der folgende Konfigurationsausschnitt zeigt den Eintrag für die Freigabe in der Datei »smb.conf« :

[profile]
  comment = Profil-Dir der Benutzer
  path = /profile
  browsable = no
  read only = no
  profile acls = yes

Wichtig bei dieser Freigabe ist der Parameter »profile acls = yes« , denn Windows muss beim Anlegen des Profilverzeichnis bestimmte ACL setzen, um den exklusiven Zugriff auf das Profil steuern zu können. Passt man jetzt noch mit dem Kommando »pdbedit -p '\\admin-magazin\profile\Benutzer' Benutzer« den Eintrag in der Datenbank an, können die Benutzer ihre Profile zentral speichern. Neue Benutzer erhalten mit den Parameter »-p« das richtige Profilverzeichnis.

Wie auch unter Windows ist es in einer Samba-Domäne möglich, Kontenrichtlinen zu setzen, um die Passwortsicherheit zu erhöhen. Die Richtlinen werden hier wieder mit dem Kommando »pdbedit« geändert (Listing 10 zeigt die Änderung der Werte).

Listing 10

Kontenrichtlinien

 

Selbstverständlich lassen sich in einer Samba-Domäne auch Logon-Skripte verwenden. Dazu erzeugt man, wie unter Windows üblich, eine Batchdatei mit den entsprechenden Befehlen. Es empfiehlt sich die Batchdatei unter Windows anzulegen, so geht man sicher, dass sie die passende Zeilenende-Kodierung hat. Anschließend muss man eine Freigabe wie in Listing 11 erstellen und die Batchdatei in die Freigabe kopieren.

Listing 11

Netlogon-Freigabe

 

Die Freigabe wird nur read-only freigegeben, und nur der Domänenadministrator erhält explizit das Schreibrecht. Wichtig ist nur, dass die Benutzer für das Verzeichnis und die Batchdateien Lese- und Ausführungsrechte haben.

Es gibt zwei Möglichkeiten, das Batchskript den Benutzern zuzuweisen: Im ersten Fall verwendet man für alle Benutzer dasselbe Skript, in dem im »[global]« -Bereich der Parameter »logon script = skriptname.bat« gesetzt ist. Dabei braucht hier nur der Dateiname ohne Pfad angegeben werden, da die Logonskripte relativ zur Freigabe NETLOGON gesucht werden. Die zweite Möglichkeit ist die, jedem Benutzer ein eigenes Logon-Skript zuzuweisen. Das realisiert das Kommando »pdbedit« . Dabei ist aber der komplette Pfad nötig: »pdbedit -S '\\admin-magazin\netlogon\scriptname.bat' Benutzer« .

Konfiguration von Winbind

Bis zu diesem Zeitpunkt ist der PDC alleine in der Domäne, und es gibt keinen weiteren Windows oder Samba-Server. Wenn die Domäne aber später durch einen weiteren Samba- oder Windows-Server erweitert werden soll, oder wenn man die verschachtelten Gruppen aus dem nächsten Abschnitt einsetzen möchte, dann ist der Dienst »winbind« nötig.

Winbind ist ein eigenständiger Dienst, der aber Bestandteil von Samba ist. Sobald »winbind« zum Einsatz kommt, muss der Nameservice Caching Daemon »nscd« auf jeden Fall gestoppt werden, die beiden Dienste vertragen sich nicht! Bei Debian und Ubuntu ist Winbind ein Extra-Paket. Konfiguriert wird er ebenfalls via »smb.conf« . Für die Verwendung von Winbind ist der »[global]« -Bereich wie folgt zu erweitern:

[global]
 winbind separator = +
 idmap uid = 10000-20000
 idmap gid = 10000-20000
 winbind enum users = yes
 winbind enum groups = yes
 winbind use default domain = yes

Die beiden Parameter »idmap uid« und »idmap gid« dienen dazu, die UIDs und GIDs der Windows-Benutzer auf Linux-IDs zu mappen. Durch die beiden Parameter »winbind enum users« und »winbind enum groups« werden die Benutzer und Gruppen dann auch im System mit »getent passwd« und »getent group« sichtbar und können für die Vergabe von Rechten auf dem Linux-System verwendet werden.

comments powered by Disqus

Artikel der Woche

Rechneranalyse mit Microsoft-Sysinternals-Tools

Der Rechner verhält sich eigenartig oder Sie haben eine unbekannte Applikation im Task Manager entdeckt und möchten erfahren, worum es sich dabei genau handelt und ob sie möglicherweise gefährlich ist? In so einem Fall helfen die Sysinternals-Tools von Microsoft. Dieser Beitrag stellt die drei Werkzeuge Autoruns, Process Explorer und TCPView vor. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018