template.jpg
Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:


 
Dahlmann.net > Informatives > Linux > Samba ins ADS integrieren

Samba ins ADS integrieren

Je nach Art eines Servers und Netzwerkes kann es sinnvoll sein, die Authentifizierung eines sich anmeldenden Benutzers über ein ActiveDirectory durchzuführen.
Hier ein paar Dinge, die man bei der Integration eines Linux-Servers in ein ActiveDirectory beachten muss (dokumentiert und getestet mit einem Windows 2003 Server):

Grundlegendes

  • Da ich Schwierigkeiten mit dieser Authentifizierungs-Methode unter Debian Sarge hatte, habe ich Samba über ein Repository (in meinem Fall auf 3.0.20b) geupdatet.
    Falls jemand es auch mit dem Sarge-Samba ans Laufen bekommen hat, möge er mir bitte Bescheid sagen. Allerdings findet man im Netz weitere Hinweise, dass man eine möglichst aktuelle Samba-Version für diese Angelegenheit nutzen sollte.
  • Hier das Samba-Repository:
  • deb http://de.samba.org/samba/ftp/Binary_Packages/Debian/ sarge samba
    				
  • Für die benutzer- oder gruppenbasierte Freigabe von Samba-Shares (durch "valid users = DOMÄNE+user") ist zum Abgleich der Daten mit dem AD der Windbind-Daemon zuständig.

smb.conf

  • Für die Einbindung ins AD sind in der smb.conf folgende Änderungen und Ergänzungen nötig:

    /etc/samba/smb.conf

    # Change this to the workgroup/NT-domain name your Samba server will part of
       workgroup = BEISPIELDOMAIN-INT
    # ADS- und WINBIND-Settings
       realm = BEISPIELDOMAIN.LOCAL
       preferred master = no
       server string = linuxserver1
       security = ADS
       password server = windowsserver.beispieldomain.local
    					
    Für Windbind außerdem:
       winbind uid = 10000-20000
       winbind gid = 10000-20000
       winbind separator = +
    #   template homedir = /home/%U
    					

Anmerkungen

  • Achtung, Fehlerteufel: Wenn der Passwort-Server nicht aufgelöst werden kann, muss er in der Konfigurations-Datei angegeben werden. Ansonsten ist eine Anmeldung des Rechners am Active Directory nicht möglich.
  • Der "winbind separator" verändert den Standard-Separator \ um z.B. Problemen auf der Shell aus dem Wege zu gehen.
  • Achtung, Fehlerteufel: Die winbind uids und gids werden in den meisten HowTos auf den Bereich 10000-20000 vorgeschlagen. Wenn dies einen Konflikt mit einem anderen Tool geben könnte und die Werte daher geändert werden sollen, muss dies vorher geschehen.
    Wurden die User und Gruppen bereits das erste mal gemappt, nützt es nichts, nur die Parameter in der smb.conf zu ändern. Winbind speichert die Mappings in /var/cache/samba/winbindd_cache.tdb und /var/lib/samba/winbindd_idmap.tdb. Nur das Löschen dieser Dateien erlaubt ein neues Mapping.
  • "template homedir" beschreibt den Ort, den über ADS angemeldete User als ihr Home-Directory zugewiesen bekommen (dieses Verzeichnis muss existieren, es wird nicht beim Anmelden eines neuen Users automatisch angelegt).

nssswtich.conf

  • Für die Einbindung der AD-Benutzer- und Gruppen-Authentifizierung muss in der nsswitch.conf winbind aktiviert werden:

    /etc/nsswitch.conf

    passwd:         compat winbind
    group:          compat winbind
    					

Der Domäne beitreten

  • Jetzt sollte man der Domäne beitreten können:
    net ads join -U Administrator					
    					

und Winbind starten

  • Nun startet man den Winbind-Daemon:
    /etc/init.d/winbind start
    					
  • Die Benutzer der Domäne sollten jetzt eingebunden sein:
    getent passwd
    					

Weitere Dokumentation

Ich bitte um Hinweise, falls sicher hier Fehler eingeschlichen haben sollten.