Samba als Windows-Domänen-Controller

Samba kann man auch als kompletten Windows-Domänen-Controller emulieren.

Die Installation, Konfiguration und Verwaltung von Benutzer ist sehr einfach. Bedenken Sie, dass die Benutzerverwaltung in zwei Bereichen stattfindet. Zuerst muss man den Benutzer in System z.B. mit Yast erstellen. Passwort des Benutzers im System ist völlig unwichtig, so lange der Zugriff nur auf Samba stattfinden soll. Danach erstellt man den selben Benutzer in Samba Bereich.

 

 

Ausgangsinformationen:

Domänen Controller (Name): SERV-DC

IP-Adresse des DC: 192.168.0.250

Domäne: MONOPLAN

1.

Editieren Sie die /etc/samba/smb.conf

[global]
    workgroup = MONOPLAN
    netbios name = SERV-DC
    server string = Samba %v(PDC)
    username map = /etc/samba/smbusers
    encrypt passwords = yes
    password level = 5
    time server = Yes
    debug level = 2
    log file = /var/log/samba/log.%m
    max log size = 50
    os level = 200
    wins support = yes
    domain logons = yes
    security = user
    socket options = TCP_NODELAY
    add machine script = /usr/sbin/useradd -g 100 -s /bin/false -M %u
    # ab version 3.4.0 tdbsam ist Standard
    passdb backend = tdbsam
    logon path = \\%L\profiles\%U
    logon home = \\%L\%U\.9xprofile
    logon script = logon.bat
    # Homenetzlaufwerk
    logon drive = H:
    printcap name = cups
    load printers = yes
    printing = cups
    admin users = @DomainAdmins

[homes]
    comment = Home Directories
    valid users = %S, %D%w%S
    browseable = No
    read only = No
    inherit acls = Yes

[netlogon]
    comment = Netlogon Share (Read-Only)
    path = /var/lib/samba/netlogon
    read only = Yes
    write list = root
    browseable = YES

[profiles]
    comment = Benutzerprofile
    path = /var/lib/samba/profiles
    read only = No
    create mask = 0600
    directory mask = 0700
    browseable = No
    store dos attributes = Yes

[printers]
    comment = All Printers
    path = /var/tmp
    printable = Yes
    create mask = 0600
    browseable = No

[print$]
    comment = Printer Drivers
    path = /var/lib/samba/drivers
    write list = @ntadmin root
    force group = ntadmin
    create mask = 0664
    directory mask = 0775

[Freigabe1]
    comment = GR1 und GR1-Lesen
    path = /data/freigabe1
    admin users = @DomainAdmins
    read list = @gruppe1_l
    write list = @gruppe1
    valid users = @gruppe1_l, @gruppe1, @DomainAdmins
    force group = gruppe1
    create mask = 0660
    directory mask = 0770
    read only = No
    browseable = Yes

 

 

Inhalt der Datei /etc/samba/smbusers

root = administrator admin

 

 
Jetzt erstellen wir eine Linux-Gruppe: DomainAdmins. In der Gruppe DomainAdmins werden alle Samba administratoren eingetragen, bedeutet auch der Benutzer root. Jetz muss man noch eine Samba Administrationsgruppe erstellen und die muss man mit der Gruppe DomainAdmins mappen. Wie das geht? Schauen Sie einfach hier.

2.

Erstellen Sie jetzt mit YaST mindestens zwei Benutzer z.B. benutzer1 und benutzer2 mit beliebigen Passwörten und zwei Gruppen. Nach der Freigabe im smb.conf oben, benennen wir die Gruppen gruppe1 und gruppe1_l. Den benutzer1 bitte in die Gruppe gruppe1 einfügen und den benutzer2 in die Gruppe gruppe2_l einfügen. Auf dieser Weise bekommt der benutzer1 Schreib- Leserechte auf die Freigabe1 und der benutzer2 nur Leserechte.

Die Meschieneaccounts werden automatisch erstellt

3.

Ändern Sie die Rechte des Ordnes /var/lib/samba/profiles

 

LinuxPDC:/ # chmod 777 /var/lib/samba/profiles

4.

Erstellen Sie für die Freigabe ein Ordner und ändern Sie die Rechte des Ordners

 

LinuxPDC:/ # mkdir /data
LinuxPDC:/ # mkdir /data/freigabe1
LinuxPDC:/ # chmod 770 /data/freigabe1
LinuxPDC:/ # chown root:gruppe1 /data/freigabe1

5.

Erstellen Sie unter Windows eine Textdatei mit den Namen logon.bat und speichern Sie die im Ordner /var/lib/samba/netlogon auf dem Linux Server

 

Inhalt der logon.bat Datei z.B.

@echo off
NET USE V: \\SERV-DC\Freigabe1

6.

Logindaten für Benutzer root, benutzer1 und benutzer2 erstellen

 

LinuxPDC:/ # pdbedit -a root
LinuxPDC:/ # pdbedit -a benutzer1
LinuxPDC:/ # pdbedit -a benutzer2

7.

Um einen Windows Rechner an den PDC anzubinden muss man folgendes machen.
Über Systemsteuerung, System, Reiter Computername und dann auf Ändern. Anstelle der Arbeitsgruppe aktiviert man nun die Domäne und gibt die Domäne an (in unserem Fall MONOPLAN). Danach wird man aufgefordert einen berechtigten Benutzer und Passwort anzugeben um den Rechner an der Domäne anzumelden. Hier können Sie den root oder den Administrator nehmen. In beiden Fällen verwenden Sie das root Passwort.

 

Ein PC an Domäne anbinden

 

Berechtigungsdaten

PDC Anmeldung - Berechtigung

8.

Nach Beitretung der Domäne können Sie den Computer neu starten und der Benutzer kann sich mit den erstellten zuvor Anmeldedaten an die Domäne einloggen.