Linux als Domänencontroller

Dieses Tutorium richtet sich an alle Linuxadministratoren, die einen Domänencontroller (PDC) unter Linux einrichten wollen

Bei der Verwaltung eines größeren Netzwerkes (10 - 50 Workstations) spielen Benutzerprofile eine wichtige Rolle.

Mit Samba unter Linux lässt sich mit wenig administrativem Zeitaufwand ein solches Netz aufbauen.

Das Beispiel wie es hier gezeigt wird, läuft unter SuSE Linux 7.2 mit Samba 2.2.0a.

Ich gewähre nicht für gelingen des Projektes, habe es aber selber schon ein paar mal ausprobiert und es hat bisher immer funktioniert ;)

Eine der ersten Aufgaben eines jeden Netzwerkadmins ist es, das Benutzerkonzept genau zu planen. Das will heißen man sollte sich eine genaue Aufstellung machen, wie die einzelnen Benutzer, Rechner heißen.

Hier gehört jeder Benutzer in die Gruppe users um allen die gleichen Rechte zu vergeben.

Samba ist kostenlos im Internet erhältlich und macht einen Linuxserver zu einem File-,Print- und Domänenserver.

Im Gegensatz zu WindowsNT/2000 Server haben Linux und Samba nicht so hohe Hardwareanforderungen und können auch auf einem Minimalsystem stabil und zügig arbeiten (hier: PII 266MHz, 96MB RAM, 2*3COM 10/100MBit Netzwerkkanal, onBoard Grafik).

Das ist aber nicht der einzige Vorteil. Des weiteren muss man unter Linux kein Geld für teure Server-Lizenzen ausgeben.

Linux ist auch von Haus aus ein stabileres und ausfallsichereres System und hat auch gleich ein Mailserver (sendmail), Proxy-Server (squid), FTP Server (proFTP) und WebServer (Apache) integriert, was für kleinere Netze (bis zu 50 Workstations) völlig ausreicht.

Als letzten Punkt ist Linux einfacher und schneller zu konfigurieren als das komplizierte Active Directory System von Win2k oder das DNS-System von Windows.

Samba zu installieren ist eigentlich ein Kinderspiel. Einfach von www.samba.org downloaden und mit yast bzw. rpm installieren. Als nächstes richten wir die Computerkonten ein:

Für jede Workstation muss unter Linux auch ein Konto am PDC eingerichtet werden. Zuerst auf Linux, dann auf Samba-Ebene. Hierzu begeben sie sich bitte auf eine Konsole und führen folgende Befehle aus:

groupadd computers

Dies generiert eine neue Gruppe namens „computer“ für die Workstations. Der eigentlich Account für die WKS (Abkürzung für Workstation, ich hasse es so ein langes Wort zigtausend mal eingeben zu müssen ;) ) wird mit:

useradd -g computers -s /bin/false NAME$

angelegt. Schauen wir uns das ganze mal genauer an:

• -g computers = Gruppenzuweisung
• -s /bin/false = Shell (hier: für die WKS gibt es keine Shell, weil sich ja auch keiner direkt als Maschine einloggt)
• NAME$ = Der WKS-Name im Netz. Das „$“ - Zeichen muss auf alle Fälle angehängt werden, da Samba dies nicht als Maschinenaccount akzeptiert.

So, jetzt müssen wir die Konten auch unter Samba einrichten. Hierzu gibt es folgende Funktion:

smbpasswd -a -m NAME$

Näher betrachtet heißt das:

• -a = einen neuen Account anlegen
• -m = einen Maschinenaccount anlegen
• NAME$ = der WKS-Name im Netz. Auch hier muss das „$“ - Zeichen dran, da die WKS unter diesem Namen im Linux-System existiert.

Jetzt haben wir die WKS zu Linux und zu Samba hinzugefügt.

Jetzt müssen wir die Benutzer noch einrichten. Dies geschieht fast wie das einrichten der WKS-Konten. Es gibt aber den kleinen aber feinen Unterschied.

useradd -g users -s /bin/false -d /home/USER USER

Kurze Erläuterung der Begrifflichkeiten:

• -g = steht wieder für Gruppe
• -s = wie bei den WKS-Konten die Shell. Auch hier soll keine Möglichkeit bestehen, sich direkt am Server einzuloggen.
• -d = Directory, in dem die Daten des Users gespeichert werden
• USER = der Benutzername

Jetzt noch zur Samba-Ebene:

linux:/#smpasswd -a USER
New SMB password: PASSWORT
retype new SMB password: PASSWORT
Added user USER

linux:/#smbpasswd -e USER
Enabled user USER

Kurz gesagt:

• -a = wieder für einen neuen Account.

Danach wird noch das Passwort für den Benutzer angelegt.

• -e = den Benutzer aktivieren
• USER = wieder der Benutzername

Jetzt haben wir die Vorarbeit geleistet. Die Benutzer sind angelegt und die WKS sind auch eingetragen.

Automatischer Start von Samba beim booten Um den Samba-Server automatisch beim booten zu starten aktiviert man unter SuSE in der /etc/rc.config folgende Einstellung:

START_SMB = "yes"

Standard ist hier: „no“ In anderen Distributionen oder nach eigener Installation (nicht mit yast) sollte man folgende Zeile in die Datei /etc/init.d/boot.local anhängen:

/etc/init.d/samba start

Einer der schwierigeren Punkte ist das konfigurieren des Samba - Servers mittels /etc/smb.conf (in anderen Distributionen ist diese Datei auch unter /etc/samba/smb.conf zu finden) Hierzu habe ich das Beispiel von www.linux-scene.de genommen und ein bischen modifiziert:

Am besten ist es, wenn ihr vorerst eine neue Datei dafür anliegt die in etwa da heisst: smb.conf.new oder sowas ähnliches, damit ihr nicht die Originaldatei überschreibt.

Hier die Konfiguration:

[global]
# Identifikation des Servers und der Arbeitsgruppe
workgroup = test.de
netbiosname = SAMBA_PDC
server string = Samba %v (PDC) @ test.de
 
# Grundeinstellungen für die einzelnen Shares. Um eine höhere Sicherheit zu gewähren, wird global erst einmal alles verboten und in den jeweiligen Shares die Rechte dann vergeben
browseable = no
public = no 
writeable = no
guest ok = no
 
# Die Log-Files für Samba
log file = /var/log.%m
 
# Die Definition des PDC's
domain master = yes
prefered domain = yes
domain logons = yes
os level = 65
security = user
 
# LogON Einstellungen für Windows 9x/NT/2000/ME
logon drive = Z:
logon path = \\SAMBA_PDC\profiles\%U.pds
logon home = \\SAMBA_PDC\profiles\%U
logon script = %U.bat
 
# Passwort Einstellungen
encrypt passwords = yes
update encrypted = yes
password level = 4
 
# Die Administratoren des PDC
domain admin users = root
 
# Performance Einstellungen
short preserve case = yes
max log size = 5000
case sensitive = no
default case = lower
mangle case = no
dead time = 15
read raw = yes
write raw = yes
socket options = TCP_NODELAY
oplocks = yes
fake oplocks = no
debug level = 2
preserve case = yes
getwd cache = yes
 
# Drucker Einstellungen
printing = cups
load printers = yes
 
[homes]
path = /home/%u
comment = Benutzer-Verzeichnisse
browseable = yes
writeable = yes
 
[netlogon]
path = /home/netlogon
browseable = no
writeable = no
comment = NetLogON
 
[profiles]
path = /home/profiles
browseable = no
writeable = yes
comment = Benutzerprofile
 
[public]
path = /home/public
browseable = yes
writeable = yes
guest ok = yes
public = yes
comment = Öffentlicher Ordner

Jetzt jede Options einzeln zu erklären würde den Rahmen dieses Tutorials sprengen. Hierzu lest ihr bitte unter www.samba.org die Dokumentation oder unter Linux:

man smb.conf

So, jetzt hätten wir Samba konfiguriert und müssen ihn nur noch starten. Hierzu kopiert ihr die Orginal smb.conf nach smb.conf.save und smb.conf.neu nach smb.conf

Um Samba zu starten führt ihr folgenden Befehl aus:

linux:/#/etc/init.d/samba start oder
linux:/#/etc/init.d/smb start

Euer Samba Server sollte jetzt starten.

In meinem Beispiel benutze ich einen Win2k - Pro Arbeitsplatz.

Um jetzt einen Windows Rechner an den PDC anzubinden muss man wie folgt vorgehen: Über Systemsteuerung, System, Registerkarte Netzwerkidentifikation öffnet man die Eigenschaften. Anstelle der Arbeitsgruppe aktiviert man nun die Domäne und gibt die Domäne an. (hier: test.de) Danach wird man aufgefordert einen berechtigten Benutzer und Passowrt anzugeben um den Rechner an der Domäne anzumelden. Hierzu muss man seit Samba 2.2.0 den root Benutzer angeben. !WICHTIG: root muss auch als Benutzer bei Samba eingetragen sein.

Wenn jetzt ein Bildschirm: Willkommen in der Domäne test.de erscheint habt ihr es geschafft.

Viel Spaß beim einrichten und benutzen des Samba Servers als PDC