Extrawurst

Normalerweise werden die Benutzer und Gruppen, die »winbind« aus einem Windows-System oder von einem anderen Samba-Server einbindet, in der Form »Domäne/Benutzer« dargestellt. Unter Linux kann »/« aber so nicht verwendet werden, weil das der Pfadtrenner ist. Deshalb ist es sinnvoll, den Slash mit dem Parameter »winbind separator = +« zu ersetzen. Überprüft man anschließend mit »testparm« die Syntax, erscheint die Warnung »'winbind separator = +' might cause problems with group membership.« . Diese Warnung ist nur dann von Relevanz, wenn man noch NIS einsetzt.

Gibt es in einem Netzwerk nur eine Domäne, ist an Stelle des Parameters »winbind separator« auch der Parameter »winbind use default domain = yes« möglich. Dann wird der Domänenteil des Benutzers und der Gruppen abgeschnitten, und die Darstellung im System ist identisch mit der der lokalen Benutzer und Gruppen. Dabei ist darauf zu achten, dass die Namen eindeutig sind und nicht sowohl in der Domäne als auch lokal existieren. Werden mehrere Domänen verwendet oder werden Vertrauensstellungen zu anderen Domänen hergestellt, ist dieser Parameter nicht verwendbar, da die Benutzer sonst nicht eindeutig einer Domäne zuzuweisen sind.

Verschachtelte Gruppen

Unter Windows ist es üblich, die Benutzer auf dem Domänencontroller in Gruppen zusammenfassen und dann diese Gruppe auf einem Fileserver einer lokalen Gruppe zuzuordnen. Die lokalen Gruppen erhalten dann Rechte im Dateisystem. Das funktioniert auch mit Samba, das Verfahren nennt sich hier Nested Groups. Damit es anwendbar ist, muss eine Domäne eingerichtet und Winbind muss konfiguriert sein. Dazu gehört auch, die Anpassung der Datei »/etc/nsswitch.conf « in dieser Weise:

passwd:    compat winbind
group:     compat winbind

Der »[global]« -Bereich in der »smb.conf« ist um die Zeile »winbind nested groups = yes« zu ergänzen. Dann lassen sich – wie in Listing 12 gezeigt – verschachtelte Gruppen einrichteten. Alle Schritte dafür obliegen dem Domänenadministrator.

Der erste Schritt erzeugt mit dem Parameter »-L« eine lokale Gruppe, in der dann die Domänengruppen als Mitglieder eingetragen werden. Der zweite Schritt fügt die Gruppe »domainbenutzer« als Mitglied zur Gruppe »localgroup« hinzu. Der dritte Schritt überprüft den Erfolg. Wenn jetzt die Gruppe »localgroup« im Dateisystem Rechte erhält, haben alle Mitglieder der Gruppe »domainbenutzer« diese Rechte im Dateisystem.

Da Linux verschachtelte Gruppen nicht unterstützt, zeigen »getent group« oder »wbinfo -g« die lokale Gruppe nicht an. Alle Aktionen mit der Gruppe brauchen immer das Kommando »net rpc group« .