Samba 4 als Windows Domain Member

Die Installation des Samba-Dienstes als Mitglied der Domäne ist unter openSuSE 13.1 nicht kompliziert. Es ist auch egal, ob der Domänen Controller ein Windows oder ein Linux Server ist. Wir beginnen zuerst mit der Einstellungen. Hier muss man noch sagen, dass wir aktuelle Samba in der openSuSE 13.1 Distribution verwenden. Wir Installieren openSuSE 13.1 von der DVD. Dann werden die Einstellungen angepasst, wir nehmen die unterstehende Vorgaben.

Ausgangsinformationen:

Servername: samba-ads
Domäne: monoplan.lokal
IP-Adresse: 192.168.0.105
Maske: 255.255.255.0
DNS: 192.168.0.100   // Auf dem ersten DC befindet sich auch DNS-Server
Gateway: 192.168.0.1
Name des Domänen Controllers: server-dc  // wird z.B. in /etc/krb5.conf eingetragen
Name des zweiten DC: server-dc2  // wird z.B. in /etc/krb5.conf eingetragen

Nach der Standardinstallation müssen wir noch folgende Pakete nachinstallieren.

  • krb5-client
  • pam_krb5
  • samba-winbind

1.

Jetzt aktualisieren wir unseres System

 

server-dc:~ # zypper up

 

Noch einmal kann man überprüfen, ob die Firewall ausgeschaltet ist.
Wichtig: AppArmor deaktivieren. Starten Sie Yast dann auf "Security and Users " -> "AppArmor Configuration" -> "Settings", dann auf "Launch". Enable AppArmor deaktivieren und auf "Done". Den Server am besten neu starten.

 

2.

Der Inhalt der Datei /etc/krb5.conf wird geändert

[libdefaults]
default_realm = MONOPLAN.LOKAL

[realms]
MONOPLAN.LOKAL = {
   kdc = server-dc.monoplan.lokal
   kdc = server-dc2.monoplan.lokal
   master_kdc = server-dc.monoplan.lokal
   admin_server = server-dc.monoplan.lokal

# Inferring the local loginID from the principal name. DEFAULT
# means use the principal name minus the realm. The rules
# convert user/root -> root and user/admin -> user:

   auth_to_local = RULE:[2:$1;$2](^.*;admin)s/;admin$//
   auth_to_local = RULE:[2:$2](^.*;root)s/^.*$/root/
   auth_to_local = DEFAULT
}

[domain_realm]
   .monoplan.lokal = MONOPLAN.LOKAL
   monoplan.lokal = MONOPLAN.LOKAL

[logging]
   kdc = FILE:/var/log/krb5/krb5kdc.log
   admin_server = FILE:/var/log/krb5/kadmind.log
   default = SYSLOG:NOTICE:DAEMON

 

3.

Es wird auch der Inhalt der /etc/nsswitch.conf geändert. Die zwei Zeilen werden mit dem Zusatz winbind ergänzt.

 

passwd: compat winbind
group: compat winbind

4.

Die Datei /etc/resolv.conf sollte diesen Inhalt haben.

 

search monoplan.lokal
nameserver 192.168.0.100

 

5.

Und noch müssen wir die /etc/samba/smb.conf anpassen.

 

[global]
   workgroup = MONOPLAN
   realm = MONOPLAN.LOKAL
   netbios name = samba-ads
   security = ADS
   encrypt passwords = true
   vfs objects = acl_xattr
   kerberos method = dedicated keytab
   dedicated keytab file = /etc/krb5.keytab
   idmap config *:backend = tdb
   idmap config *:range = 1000000-1999999
   idmap config MONOPLAN:backend = rid
   idmap config MONOPLAN:range = 10000-999999
   winbind trusted domains only = no
   winbind use default domain = yes
   winbind enum users = no
   winbind enum groups = no
   client use spnego = no
   template shell = /bin/bash
   sync always = yes

[data1]
   path = /data/data1
   available = yes
   comment = kommentar
   read only = no  
   writable = yes

6.

Als nächstes testen wir, ob Kerberos funktioniert, indem wir uns als Administrator authentifizieren.

 

samba-ads:~ # kinit Administrator

 

7.

Domäne beitreten

 

samba-ads:~ # net ads join -U Administrator

 

8.

Kerberos-Keytab

 

samba-ads:~ # net ads keytab create           # Keytab erzeugen
samba-ads:~ # net ads keytab add HTTP      # Prinzipal für HTTP
samba-ads:~ # kdestroy                                # Administrator ausloggen
samba-ads:~ # klist -k                                   # erstellte keytab anzeigen
samba-ads:~ # kinit -k SAMBA-ADS$              # Login Maschinenaccount (Servername+$). Großschreibung ist wichtig
samba-ads:~ # klist

 

9.

Den Ordner /data/data1 erstellen und die Rechte ändern

 

samba-ads:~ # mkdir /data/data1
samba-ads:~ # chmod 777 /data/data1/

 

10.

Die entsprechen Dienste werden gestartet

 

samba-ads:~ # /usr/sbin/smbd
samba-ads:~ # /usr/sbin/nmbd
samba-ads:~ # /usr/sbin/winbindd

 

 

Rechte vergabe für den obengenannten Ordner sehen Sie Samba 4 Freigaben. Sie müssen allerdings den richtigen Server auswählen. In unseren Fall wäre es samba-ads