Samba 4 als Windows Domain Member
Die Installation des Samba-Dienstes als Mitglied der Domäne ist unter openSuSE 13.1 nicht kompliziert. Es ist auch egal, ob der Domänen Controller ein Windows oder ein Linux Server ist. Wir beginnen zuerst mit der Einstellungen. Hier muss man noch sagen, dass wir aktuelle Samba in der openSuSE 13.1 Distribution verwenden. Wir Installieren openSuSE 13.1 von der DVD. Dann werden die Einstellungen angepasst, wir nehmen die unterstehende Vorgaben.
Ausgangsinformationen:
Servername: samba-ads
Domäne: monoplan.lokal
IP-Adresse: 192.168.0.105
Maske: 255.255.255.0
DNS: 192.168.0.100 // Auf dem ersten DC befindet sich auch DNS-Server
Gateway: 192.168.0.1
Name des Domänen Controllers: server-dc // wird z.B. in /etc/krb5.conf eingetragen
Name des zweiten DC: server-dc2 // wird z.B. in /etc/krb5.conf eingetragen
Nach der Standardinstallation müssen wir noch folgende Pakete nachinstallieren.
- krb5-client
- pam_krb5
- samba-winbind
1.
Jetzt aktualisieren wir unseres System
server-dc:~ # zypper up
Noch einmal kann man überprüfen, ob die Firewall ausgeschaltet ist.
Wichtig: AppArmor deaktivieren. Starten Sie Yast dann auf "Security and Users " -> "AppArmor Configuration" -> "Settings", dann auf "Launch". Enable AppArmor deaktivieren und auf "Done". Den Server am besten neu starten.
2.
Der Inhalt der Datei /etc/krb5.conf wird geändert
[libdefaults]
default_realm = MONOPLAN.LOKAL
[realms]
MONOPLAN.LOKAL = {
kdc = server-dc.monoplan.lokal
kdc = server-dc2.monoplan.lokal
master_kdc = server-dc.monoplan.lokal
admin_server = server-dc.monoplan.lokal
# Inferring the local loginID from the principal name. DEFAULT
# means use the principal name minus the realm. The rules
# convert user/root -> root and user/admin -> user:
auth_to_local = RULE:[2:$1;$2](^.*;admin)s/;admin$//
auth_to_local = RULE:[2:$2](^.*;root)s/^.*$/root/
auth_to_local = DEFAULT
}
[domain_realm]
.monoplan.lokal = MONOPLAN.LOKAL
monoplan.lokal = MONOPLAN.LOKAL
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
3.
Es wird auch der Inhalt der /etc/nsswitch.conf geändert. Die zwei Zeilen werden mit dem Zusatz winbind ergänzt.
passwd: compat winbind
group: compat winbind
4.
Die Datei /etc/resolv.conf sollte diesen Inhalt haben.
search monoplan.lokal
nameserver 192.168.0.100
5.
Und noch müssen wir die /etc/samba/smb.conf anpassen.
[global]
workgroup = MONOPLAN
realm = MONOPLAN.LOKAL
netbios name = samba-ads
security = ADS
encrypt passwords = true
vfs objects = acl_xattr
kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab
idmap config *:backend = tdb
idmap config *:range = 1000000-1999999
idmap config MONOPLAN:backend = rid
idmap config MONOPLAN:range = 10000-999999
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = no
winbind enum groups = no
client use spnego = no
template shell = /bin/bash
sync always = yes
[data1]
path = /data/data1
available = yes
comment = kommentar
read only = no
writable = yes
6.
Als nächstes testen wir, ob Kerberos funktioniert, indem wir uns als Administrator authentifizieren.
samba-ads:~ # kinit Administrator
7.
Domäne beitreten
samba-ads:~ # net ads join -U Administrator
8.
Kerberos-Keytab
samba-ads:~ # net ads keytab create # Keytab erzeugen
samba-ads:~ # net ads keytab add HTTP # Prinzipal für HTTP
samba-ads:~ # kdestroy # Administrator ausloggen
samba-ads:~ # klist -k # erstellte keytab anzeigen
samba-ads:~ # kinit -k SAMBA-ADS$ # Login Maschinenaccount (Servername+$). Großschreibung ist wichtig
samba-ads:~ # klist
9.
Den Ordner /data/data1 erstellen und die Rechte ändern
samba-ads:~ # mkdir /data/data1
samba-ads:~ # chmod 777 /data/data1/
10.
Die entsprechen Dienste werden gestartet
samba-ads:~ # /usr/sbin/smbd
samba-ads:~ # /usr/sbin/nmbd
samba-ads:~ # /usr/sbin/winbindd
Rechte vergabe für den obengenannten Ordner sehen Sie Samba 4 Freigaben. Sie müssen allerdings den richtigen Server auswählen. In unseren Fall wäre es samba-ads