Tridex

Seit der SambaXP, einer großen internationalen Samba Konferenz für Entwickler und Systemadministratoren, Anfang Mai gehen die Wogen um Samba 4 höher als vielleicht je zuvor. Jede Computerfachzeitschrift die etwas auf sich hält bringt Artikel über die Pläne für ein Release der neuen Version noch in diesem Jahr 2012 und macht deutlich welch wichtiger Schritt Samba 4 für Linux als Ersatz zum allgegenwärtigen Windows Server in kleineren und mittleren Betrieben darstellt. In diesem Artikel möchte ich zeigen, wie man Ubuntu 12.04 LTS mithilfe von Samba 4 in einen vollwärtigen Windows kompatiblen Domain Controller samt Active Directory konvertiert. Für Produktivumgebungen ist so ein Setup laut Entwickler zwar noch nicht unbedingt geeignet, um mit den neuen Tools vertraut zu werden reicht es aber auf alle Fälle!

Installation

Ich gehe im folgenden davon aus, dass alle Befehl auf einem frisch installierten Ubuntu 12.04 Server durchgeführt werden. Zusätzlich zum hier aufgezeigten Setup wird ein DHCP-Server benötigt, dieser kann allerdings auch von einem einfachen Home-Router zur Verfügung gestellt werden.
Folgende Werte müssen durch eigene ersetzt bzw. angepasst werden:

• sambaServer: Name des Servers
  
• domainName: Name der Domäne
• IP-Adressen

Netzwerkkonfiguration

Ubuntu muss zum Betrieb als Domain Controller eine statische IP-Adresse besitzen (/etc/network/interfaces):
auto eth0
iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 192.168.1.10
dns-search domainName.local

Weiteres sollte der Hostname sowie der Domainname über die /etc/hosts aufgelöst werden können:
127.0.0.1 localhost
192.168.1.10 sambaServer sambaServer.domainName.local


Samba installieren

Samba 4 ist bereits als Paket in den Repositorien von Ubuntu 12.04 zu finden, wer allerdings eine ganz aktuelle Version testen möchte, dem bleibt momentan das selbst kompilieren nicht erspart, da es meines Wissens kein aktuelles externes Samba 4 Repository gibt. Anleitung wie man Samba selbst kompiliert finden sich im offiziellen Samba4 HOWTO. Ich bleibe bei meinen Experimenten fürs erste aber beim offiziellen Paket, da sich dies einfach besser ins System integriert.
$ sudo apt-get install samba4 samba4-clients
Momentan kommt es bei der Installation zu einem Fehler weshalb dpkg das Paket nicht fertig konfigurieren kann. Den Fehler kann man allerdings ignorieren und so reicht es aus, das Paket manuelle als installiert zu markieren. Dazu sucht man sich in der Datei /var/lib/dpkg/status das Paket samba4 und ersetzt den Wert half-configured durch installed.

Samba als Domain Controller mit Active Directory konfigurieren

Die nächsten Schritte kennen Windows Server Administratoren vielleicht eher unter dem Programm dcpromo.exe: Mithilfe eines Scriptes und ein paar Parametern erstellt Samba ein Active Directory und ein paar zusätzliche Konfigurationsdateien. Dies funktioniert nur, wenn noch keine smb.conf Datei existiert. Wird der Befehl später nocheinmal ausgeführt, werden alle Änderungen in der Active Directory zurückgesetzt!!
$ sudo rm /etc/samba/smb.conf
$ sudo /usr/share/samba/setup/provision ---realm=domainName.local \
--domain=DOMAINNAME --adminpass='Password123' --server-role=dc

Wichtig ist dabei den Werte bei –domain= aus kompatibilitätsgründen in Großbuchstaben zu schreiben und das Passwort ausreichend komplex (Großbuchstaben und Zahlen) zu wählen, sonst beklagt sich Samba später darüber. Nun kann Samba 4 bereits über die üblichen Startskripts gestartet werden:
$ sudo initctl start samba4
Um zu testen ob soweit alles funktioniert kann man folgenden Befehl ausführen um sich alle Freigaben anzeigen zu lassen.
$ smbclient -L localhost -U%

Bind DNS Server installieren

Domain Controller mit Active Directory bauen stark auf ein funktionierendes DNS-Netzwerk auf. Für die Zukunft ist zwar geplant Samba 4 mit einem kleinen internen DNS-Server auszustatten, in meinem Tests erwies sich diesen zum Laufen zu bringen allerdings als recht unmöglich. Deswegen kommt nun neben Samba ein zweites Server-Schwergewicht zum Einsatz: BIND
$ sudo apt-get install bind9
Um Bind und Samba miteinander anzufreunden muss man zuerst einmal eine kleine Mauer niederreißen, nämlich AppArmor für den Zugriff konfiguieren. Dazu füngt man am Ende der Datei /etc/apparmor.d/usr.sbin.named folgende Einträge ein (für andere Architekturen gelten natürlich entsprechend anpassen):
/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/x86_64-linux-gnu/samba/bind9/** rm,
/usr/lib/x86_64-linux-gnu/samba/gensec/** rm,
/usr/lib/x86_64-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/x86_64-linux-gnu/samba/ldb/** rm,
Um die Freundschaft schlussendlich noch zu vertiefen fügt man folgenden Befehl am Ender der Datei /etc/bind/named.conf ein:
include "/var/lib/samba/private/named.conf";
Bevor man AppArmor und Bind neustartet sollte man noch eine weitere Konfigurationsdatei zu Bind hinzufügen, um Clients das automatische Updaten ihrer DNS-Einträge zu ermöglichen. Dazu fügt man folgende Zeile in den options-Abschnitt der Datei /etc/bind/named.conf.options ein:
tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";
Anschließend Services neustarten:
$ sudo service apparmor restart
$ sudo service bind9 restart

Kerberos

Keine Sorge, denn bald ist es geschafft! Kerberos muss als eigentlicher Authentifizierungsdienst ebenfalls installiert und konfiguriert werden:
$ sudo apt-get install krb5-user
Bei der Installation wählt man als „Voreingestellter Realm für Kerberos“ irgendeinen Wert und anschließend ersetzt man die Datei /etc/krb5.conf durch die von Samba mitgelieferte Konfigurationsdatei in /usr/share/samba/setup/krb5.conf. Diese ändert man noch sodass der Wert default_realm gleich DOMAINNAME.LOCAL heißt. Nun überprüft man ob Kerberos soweit mit Samba zusammenarbeitet:
kinit administrator@DOMAINNAME.LOCAL

Testen

Das wars eigentlich auch schon! Nun kann man den bisherigen Setup soweit testen und die ersten Windows-Maschinen in die Domain aufnehmen.
$ host -t SRV _ldap._tcp.samdom.example.com.
$ host -t SRV _kerberos._udp.samdom.example.com.
$ host -t A samba.samdom.example.com.

Diese Befehle zum Testen der DNS-Abfrage sollten folgende Ergebnisse liefern:
_ldap._tcp.domainName.lan has SRV record 0 100 389 sambaServer.domainName.lan.
_kerberos._udp.domainName.lan has SRV record 0 100 88 sambaServer.
samba.samdom.example.com has address 192.168.1.10

Funktioniert das soweit kann man auch schon die ersten Clients in die Active Directory integrieren und dieses damit sogar verwalten. Wer sich die Windows Remoteserver-Verwaltungstools herunterlädt kann nicht nur neue Benutzer anlegen, sondern sogar Gruppenrichtlienien verwalten und beinahe alle anderen Administrationsaufgaben damit erledigen. Sehr komfortabel geht das natürlich auch mit dem neuen Kommandozeilen Programm samba-tool.

Fazit

Ich hoffe ich konnte die wichtigsten Konfigurationsschritte zum Aufsetzen eines Samba 4 Server samt Active Directory vorzeigen und den einen oder anderen auf den Geschmack bringen es selbst einmal auszuprobieren. Bleibt zu hoffen, dass die Samba Entwickler ihr Versprechen einhalten und den neuen Serverdienst bereits im Laufe dieses Jahres in seiner endgültigen und stabilen Fassung veröffentlichen!

Tags: Administration, Netzwerk, OpenSource, Server, Ubuntu, Windows

Dieser Eintrag wurde am 4. Juli 2012 um 18:39 geposted und findet sich unter Kurztest, Planet, Tutorial. Kommentare können unter dem RSS 2.0 Feed abonniert werden. Both comments and pings are currently closed.