59,99 €
Mehr erfahren.
- Herausgeber: Carl Hanser Verlag GmbH & Co. KG
- Kategorie: Wissenschaft und neue Technologien
- Sprache: Deutsch
- Ein Buch für alle, die Samba 4 in ihrem Netzwerk einsetzen wollen – sei es als Active Directory Domaincontroller, als Fileserver oder als Cluster. - Es begleitet von Anfang bis Ende den Aufbau einer kompletten Samba-4-Umgebung, aber für bestimmte Dienste erhalten Sie auch Informationen in einzelnen Kapiteln. - In einem neuen Kapitel wird besonders auf das Thema Sicherheit eingegangen. Hier werden die Möglichkeiten des Function Level 2016 besprochen. - Ihr exklusiver Vorteil: E-Book inklusive beim Kauf des gedruckten Buches Dieses Buch gibt Ihnen eine umfangreiche Anleitung für die Einrichtung und den Betrieb einer Samba-4-Umgebung. Ein Schwerpunkt liegt auf der Verwendung von Samba 4 als Active Directory-Domaincontroller. Dabei werden alle Schritte zu deren Verwaltung beschrieben bis hin zur Behebung eines Ausfalls von Domaincontrollern. Ein weiterer Schwerpunkt ist die Verwaltung von Fileservern in einer Netzwerkumgebung, sei es als einzelner Server oder als Cluster. Bei der Einrichtung des Clusters wird dabei komplett auf Open-Source-Software gesetzt. Auch die Einbindung von Clients – von Windows, Linux und macOS – kommt nicht zu kurz. Die Einrichtung von zwei DHCP-Servern für die ausfallsichere DDNS-Umgebung wird mit allen Schritten und Skripten beschrieben. CTDB wird um die Funktion NFS-Server hochverfügbar bereitstellen erweitert. Gerade als Linux-Administrator ist man es gewohnt, alles möglichst über Skripte auf der Kommandozeile durchführen zu können. Deshalb gibt es zu diesem Bereich ein eigenes Kapitel. Auch wird in dieser Auflage das Thema Sicherheit genauer beleuchtet. Dabei geht es um neue Techniken und die Möglichkeiten, die sich daraus ergeben. AUS DEM INHALT // - Installation von Domaincontrollern und Fileservern - Einrichten und Testen von Domaincontrollern - Benutzerverwaltung - Grundlagen zu Gruppenrichtlinien - Einrichtung servergespeicherter Profi le und Ordnerumleitung via GPOs - Einrichtung von RODC (Read Only Domain Controller) - Ausfallsichere DDNS-Infrastruktur - Fileserver in der Domäne - Freigaben einrichten und verwalten - Einrichtung des Virusfilters - Clients in der Domäne - Cluster mit CTDB und GlusterFS - Schemaerweiterung - Einrichten von Vertrauensstellungen - Sicherheit - Hilfe zur Fehlersuche - CTDB und NFS als Cluster
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Seitenzahl: 701
Veröffentlichungsjahr: 2025
Ähnliche
Stefan Kania
Samba 4
3., überarbeitete Auflage
Ihr Plus – digitale Zusatzinhalte!
Auf unserem Download-Portal finden Sie zu diesem Titel kostenloses Zusatzmaterial.
Geben Sie auf plus.hanser-fachbuch.de einfach diesen Code ein:
plus-47c3U-rjRbq
Der Autor:Stefan Kania, St. Michaelisdonn
Print-ISBN: 978-3-446-48385-9E-Book-ISBN: 978-3-446-48449-8E-Pub-ISBN: 978-3-446-48501-3
Alle in diesem Werk enthaltenen Informationen, Verfahren und Darstellungen wurden zum Zeitpunkt der Veröffentlichung nach bestem Wissen zusammengestellt. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Werk enthaltenen Informationen für Autoren, Herausgebern und Verlag mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autoren, Herausgeber und Verlag übernehmen infolgedessen keine Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen – oder Teilen davon – entsteht. Ebenso übernehmen Autoren, Herausgeber und Verlag keine Gewähr dafür, dass beschriebene Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt also auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Die endgültige Entscheidung über die Eignung der Informationen für die vorgesehene Verwendung in einer bestimmten Anwendung liegt in der alleinigen Verantwortung des Nutzers.
Bibliografische Information der Deutschen Nationalbibliothek: Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Dieses Werk ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren), auch nicht für Zwecke der Unterrichtsgestaltung – mit Ausnahme der in den §§ 53, 54 URG genannten Sonderfälle –, reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.
© 2025 Carl Hanser Verlag GmbH & Co. KG, München Kolbergerstraße 22 | 81679 München | [email protected]: Brigitte Bauer-Schiewek, Kristin RotheCopy editing: Jürgen Dubau, Freiburg/ElbeHerstellung: le-tex publishing services GmbH, LeipzigCoverkonzept: Marc Müller-Bremer, www.rebranding.de, MünchenCovergestaltung: Thomas WestTitelmotiv: © http://istockphoto.com/malerapaso
Nach über vier Jahren folgt nun die 3. Neuauflage des Samba-Buches im Hanser Verlag. Warum hat es dieses Mal so lange gedauert? In den Versionen zwischen 4.14 und 4.18 war vieles, was in den Versionen neu hinzugekommen ist, oft Dinge, die im Hintergrund relevant waren, aber nicht so sehr für die Administration. Immer wieder habe ich überlegt, eine neue Auflage zu erstellen. Aber ich denke, gerade für die Leser unter Ihnen, die schon eine vorherige Auflage gekauft haben, macht ein Neukauf nur Sinn, wenn sich auch vieles ändert. Mit der Version 4.19 war es dann so weit: Eine der größten Änderungen der letzten Jahre ist eingetreten, es gibt ein neues Function Level. Seit der Version 4.19 wird jetzt auch das Function Level 2016 unterstützt. Aber warum dann keine neue Version des Buches mit der Samba-Version 4.19? Mit der Version wurde zwar das neue Function Level eingeführt und eine Domäne kann auch auf das neue Function Level hochgestuft werden, aber es fehlten noch zu viele Funktionen. Erst mit der Version 4.21 ist es soweit, dass das neue Function Level auch genutzt werden kann. Auch habe ich in den letzten Jahren mein OpenLDAP-Buch aktualisiert und da viele Umstellungen bei Kunden durchgeführt. Jetzt habe ich aber die Zeit, eine neue Auflage des Samba-Buchs zu schreiben und wirklich einen Mehrwert für alle, die schon eine vorherige Auflage besitzen, zu bringen. Selbstverständlich wird der Schwerpunkt des Buches wieder bei der Administration liegen. Auch Dienste wie CTDB und Printserver sind wieder Bestandteil des Buches. Aber ich habe ein ganz neues Kapitel aufgenommen, in dem es um das Thema Sicherheit geht. Hier habe ich das BSI-Grundschutzhandbuch als Grundlage genutzt, um Domaincontroller und Fileserver abzusichern. In dem Kapitel gehe ich auf die einzelnen Module des Grundschutzhandbuchs ein, die für einen Samba-Server, egal ob Domaincontroller oder Fileserver, relevant sind. Alle Fragebögen sowie die Skripte aus dem Buch können Sie direkt per git mit dem Kommando git clone https://github.com/stkania/samba4-buch-2024 herunterladen.
Aus dem Inhalt der letzten Auflage habe ich die Kapitel zum Thema wins und das Kapitel mit dem Workshop am Ende des Buches herausgenommen. Trotzdem ist diese Auflage etwas umfangreicher als die vorherige. An vielen Stellen habe ich weiter Inhalte hinzugefügt, um bestimmte Themen noch zu vertiefen. So ist zum Beispiel im Kapitel Cluster der Abschnitt zum GlusterFS etwas umfangreicher geworden. Zwei neue Kapitel sind dazugekommen: zum einen ein Kapitel, in dem es um die Sicherheit von Samba-Diensten geht, hier gehe ich auf die neuen Möglichkeiten mit dem neuen Function Level 2016 ein. Ein weiteres neues Kapitel beschäftigt sich noch einmal mit dem Thema CTDB, hier geht es aber darum, einmal zu zeigen, dass CTDB auch mit NFS umgehen kann.
Einen Blick über den Tellerrand habe ich dann noch in dem Kapitel zum Thema CTDB und NFS geworfen. Ich will damit zeigen, dass CTDB weitaus mehr kann, als nur einen hochverfügbaren Samba-Server bereitzustellen. In dem Kapitel nutze ich dann CTDB, um einen NFS-Server hochverfügbar im Netzwerk einzubinden. Wenn Sie dann die Einrichtung einer Samba-Domäne und den NFS-Server kombinieren, erhalten Sie eine Umgebung für Linux-Clients, bei denen das Kerberos über das Active Directory für die Authentifizierung genutzt wird, und einen abgesicherten NFS-Server.
Danksagung
Wie auch schon in der letzten Auflage gilt mein Dank immer Ihnen als Leser. Besonders an die Leser, die mir mit konstruktiven Feedbacks geholfen haben, bestimmte Dinge in der neuen Auflage aufzunehmen und zu verbessern. Ein Dank geht auch an den Hanser Verlag, dass Sie mir wieder die Möglichkeit gegeben haben, die Neuauflage zu schreiben.
Einer Person muss ich an dieser Stelle ganz besonders danken: Martin Schwenke, einem der Entwickler vom CTDB. Danke, Martin, für deine Hilfe bei allen Fragen rund um das Thema Cluster und die Geduld, bis dann der NFS-Server endlich fehlerfrei lief.
Jetzt bleibt mir nur noch, Ihnen viel Spaß mit der neuen Auflage zu wünschen, und wie immer freue ich mich über Anregungen und Kritik. Ihr Feedback hilft stets, eine weitere Auflage zu verbessern.
An dieser Stelle möchte ich Ihnen erklären, was ich mir bei der Verwendung der verschiedenen Formatierungsmöglichkeiten und Administrationsarten gedacht habe. Hier finden Sie auch die Beschreibung zu den im Buch verwendeten Icons.
1.1FormalesDamit Sie den größtmöglichen Nutzen aus diesem Buch ziehen können, sollen im Folgenden einige Konventionen erläutert werden.
1.1.1Kommandozeile vs. grafische AdministrationAn vielen Stellen im Buch verwende ich die Kommandozeile, um bestimmte Dienste zu konfigurieren oder zu testen, aber auch die Maus kommt hier zum Einsatz. In diesem Buch geht es ja um Samba 4. Samba 4 soll ein möglichst genaues Abbild einer Windows-Umgebung darstellen, und das betrifft natürlich auch die Administration.
Da die Administration unter Windows im Normalfall über die grafische Oberfläche stattfindet, wird genau das hier häufig auftauchen. An manchen Stellen macht es auch keinen Sinn, obwohl es ginge, die Administration über die Kommandozeile vorzunehmen, da Sie mit der Maus viel schneller sind. An einigen Stellen haben Sie auch mehr Möglichkeiten, wenn Sie die grafische Administration verwenden.
Für alle Leser unter Ihnen, die am liebsten alles oder wenigstens möglichst viel über die Kommandozeile erledigen möchten, habe ich das Kapitel zur Arbeit auf der Kommandozeile überarbeitet und erweitert. Mit der neuen Version 4.21 sind die Möglichkeiten der Administration mit dem samba-tool gegeben.
1.2SchriftartenViele der Beispiele zu den Kommandos werden aber auch in Listings dargestellt. In den Listings werden Sie von der Befehlszeile bis zum Ergebnis alles nachvollziehen können, wie Sie hier im Beispiel sehen:
Listing 1.1 Ein Testlisting
stefan@samba4~\$ ps PID TTY TIME CMD 4008 pts/2 00:00:00 bash 4025 pts/2 00:00:00 ps
Die folgenden Schriftarten werden im Buch verwendet:
Um bestimmte Begriffe hervorzuheben, wird die Schriftart Schief eingesetzt.
Für die Darstellung von Tastenkombinationen und Klicks auf bestimmte Symbole oder Karteireiter in der grafischen Oberfläche wird die Schriftart KAPITÄLCHEN verwendet.
Wenn im Text der Hinweis auf eine Datei gegeben wird, werde ich die Schriftart Sans Serif verwenden.
Im fließenden Text werden Konsolenbefehle mit Schreibmaschine dargestellt.
Parameter und Werte aus Listings durch die Verwendung von Kursivschrift gekennzeichnet.
1.2.1Eingabe langer BefehleEs gibt noch eine weitere wichtige, eher technische Konvention: Einige der vorgestellten Kommandozeilenbefehle oder Ausgaben von Ergebnissen erstrecken sich über mehrere Buchzeilen. Im Buch kennzeichnet am Ende der entsprechenden Zeilen ein „\“, dass der Befehl oder die Ausgabe in der nächsten Zeile weitergeht.
1.2.2ScreenshotsWie heißt es doch so schön: Ein Bild sagt mehr als tausend Worte. Wann immer es sinnvoll erscheint, soll ein Screenshot zur Erhellung des Sachverhalts beitragen.
Gerade wenn Windows verstärkt für die Administration eingesetzt wird, sind Screenshots einfach unerlässlich. Auch sollen die Screenshots Ihnen helfen, bestimmte Einstellungen schneller und einfacher zu finden.
1.2.3InternetverweiseAn einigen Stellen werde ich auf bestimmte URLs verweisen – sei es, um Ihnen Quellen für bestimmte Downloads zu geben, oder um Ihnen den Weg zu tiefergehenden und weiterführenden Erklärungen zu geben, die den Rahmen dieses Buches sprengen würden. Verweise auf Internetadressen werden immer so geschrieben: www.samba.org.
1.2.4IconsSie werden in den einzelnen Kapiteln am Rand oft Icons finden, die Sie auf bestimmte Zusammenhänge oder Besonderheiten hinweisen sollen. Die Icons haben die folgenden Bedeutungen:
Wichtig
Wann immer Sie das nebenstehende Symbol sehen, ist Vorsicht angeraten: Hier weise ich auf besonders kritische Einstellungen hin oder auf Fehler, die dazu führen können, dass das System nicht mehr stabil läuft. Damit sich die Warnungen mehr vom übrigen Text abheben, habe ich diese Textbereiche dann noch mit einem grauen Kasten hinterlegt.
Hinweis
Alle Textstellen, die ich mit diesem Icon versehen habe, sollten Sie unbedingt lesen! Hier handelt es sich oft um wichtige Hinweise, die Sie nicht außer Acht lassen sollten.
Tipp
Bei diesem Symbol finden Sie nützliche Tipps und Tricks zu bestimmten Aufgaben.
Welche Distribution Sie verwenden, ist immer abhängig davon, welche Samba-Funktion Sie nutzen wollen. Da die Verwendung des MIT-Kerberos immer noch als experimental gekennzeichnet ist, unterstützen nur Ubuntu und Debian die Funktion des Active Directory-Domaincontrollers aus den eigenen Repositories. Nur Debian und Ubuntu stellen den Heimdal-Server noch zur Verfügung, alle anderen Distributionen verwenden nur noch den MIT-Kerberos. Um die aktuelle Version 4.21 nutzen zu können, verwende ich hier im Buch die Backports zu Debian 12, denn dort ist diese Version schon enthalten. Viele der von mir hier im Buch angesprochenen Funktionen erfordern mindestens die Samba-Version 4.20, besser ist aber auf jeden Fall der Einsatz der Samba-Version 4.21. Nur damit können Sie alles hier im Buch nachvollziehen.
In der vorherigen Auflage habe ich die Pakete von Louis van Belle genutzt. Der hat aber bedauerlicherweise die Bereitstellung der Pakete schon vor einiger Zeit eingestellt. Das zeigt leider, dass Sie immer einen Blick darauf werfen sollten, wer und vor allen Dingen wie viele Menschen die von Ihnen genutzten Pakete bereitstellen.
Natürlich haben Sie immer noch die Möglichkeit, die Pakete der Firma SerNet einzusetzen. Gerade im produktiven Umfeld sind diese Pakete aufgrund des schnellen und guten Supports zu empfehlen. Auch bekommen Sie dort die Pakete für andere Distributionen. Die SerNet-Pakete stellen dann den Heimdal-Kerberos für die Distributionen bereit.
Da die wichtigsten Unterscheidungsmerkmale hauptsächlich in der Installation liegen, können Sie die im Buch erklärten Vorgehensweisen auch auf andere Distributionen übernehmen. Die Administration ist bei allen Distributionen identisch. Wenn Sie also Samba entweder aus den Quellen selber bauen oder die Pakete aus externen Quellen nutzen, können Sie mit jeder beliebigen Distribution den Aufbau Ihrer Systeme mit diesem Buch nachvollziehen. Sie sind nicht zwingend auf Debian oder Ubuntu angewiesen.
Ein Hinweis zu Firewalls, SELinux und Apparmor: Ich werde vor der Installation diese Systeme immer deaktivieren, da es in diesem Buch nicht um das Thema Systemsicherheit der Systeme geht. Wenn Sie eines dieser Systeme nutzen wollen, müssen Sie sich in zusätzlicher Literatur darüber informieren, da diese Systeme für sich schon ganze Bücher füllen.
Wenn Sie jetzt überlegen, welche Distribution Sie verwenden wollen, folgen hier ein paar Tipps:
Achten Sie auf langen Support, wählen Sie deshalb auf jeden Fall eine LTS-Version Ihrer Lieblingsdistribution.
Installieren Sie auf allen Servern die gleiche Distribution, schaffen Sie sich keinen Distributionszoo. Das gilt besonders für die Domaincontroller und die CTDB-Server. Gerade hier sollten Sie auf jeden Fall die Version 4.21 nutzen.
Testen Sie, mit welcher Distribution Sie am besten zurechtkommen.
Schauen Sie sich die verschiedenen Versionen von Samba 4 an und überlegen Sie, welche Version Sie mindestens installieren müssen, um alle benötigten Funktionen realisieren zu können. Denken Sie daran, nur die letzten drei Samba-Versionen werden vom Samba-Team betreut.
1.4Windows-VersionDa Windows 10 nicht mehr von Microsoft mit Updates versorgt wird, verwende ich hier im Buch ausschließlich Windows 11.
Jetzt bleibt mir nur noch, Ihnen viel Spaß mit dem Buch zu wünschen und zu hoffen, dass Ihnen mein Buch bei Ihrer täglichen Arbeit eine Hilfe sein wird.
In diesem Kapitel geht es um die verschiedenen Möglichkeiten, Samba 4 zu installieren. Im Gegensatz zur letzten Auflage werde ich hier nicht mehr auf das Compilieren von Samba eingehen. Das Vorgehen ist nicht mehr so trivial wie bei den älteren Versionen und würde hier im Buch zu viel Platz benötigen, den ich lieber für andere Themen nutzen möchte.
Ich werde für die Funktion des Domaincontrollers, der Fileserver und der CTDB-Server auf die Pakete aus den Debian 12 Backports zurückgreifen, um dort möglichst die aktuellen Funktionen erklären zu können. Auf den Clients werde ich immer die Pakete der Distributionen nutzen. Wenn Sie aber den vollen Funktionsumfang der Gruppenrichtlinien für Linux-Clients im Active Directory nutzen wollen, geht das nur, wenn Sie auch auf den Clients die Samba-Version 4.21 nutzen.
Auch möchte ich hier wieder die Installation der SerNet-Pakete mit aufnehmen. Der eine oder andere, der gerne Support für Software nutzen möchte, ist mit den SerNet-Paketen sehr gut beraten. Auch sind die Pakete sehr stabil und aktuell. Ein weiterer Grund, der für die SerNet-Pakete spricht, ist die Unterstützung für Red-Hat- und Suse-Distributionen. Denn mithilfe der SerNet-Pakete können Sie auch auf diesen Distributionen Domaincontroller installieren.
Nachdem Sie sich Gedanken darüber gemacht haben, welche Distribution und Samba-Version Sie einsetzen möchten, bleibt für Sie die Entscheidung, welchen Weg der Installation Sie gehen wollen und welche Distribution Sie nutzen möchten. Bei der Installation des Active Directory-Domaincontrollers wird immer auch ein Kerberos-Server benötigt. Samba verwendet hierfür im Moment noch den Heimdal-Kerberos. Seit der Version 4.7 wird zwar auch der MIT-Kerberos unterstützt, aber der Einsatz ist immer noch als experimental gekennzeichnet. Damit fallen die Pakete der Distributionen aus der Auswahl, die nur den MIT-Kerberos bereitstellen. Dazu gehören Fedora, Red Hat, Suse und Alma Linux. Wollen Sie eine dieser Distributionen verwenden, können Sie hierfür nicht die von der Distribution bereitgestellten Pakete benutzen. Für diese Distributionen bleiben Ihnen nur zwei Wege: die Installation aus den Quellen, wobei Sie dann auch den Kerberos-Server mit bauen müssen, oder die Installation der SerNet-Pakete. Suse stellt zwar die Funktion des Domaincontrollers zur Verfügung, nutzt aber dafür die experimentelle Unterstützung des MIT-Kerberos-Servers.
Die Funktion des Fileservers kann aber mit allen Paketen aus den Distributionen realisiert werden. Wenn Sie die Pakete der Distributionen einsetzen, dann achten Sie darauf, dass die Samba-Version die von Ihnen benötigten Funktionen unterstützt.
In den folgenden Abschnitten werde ich Ihnen die Installation auf verschiedenen Wegen an Beispielen erklären und die Vor- und Nachteile ansprechen. Die Art und Weise, die Sie letztendlich auswählen, ist abhängig von den Funktionen, die Sie benötigen.
3.1Die verschiedenen InstallationsartenDamit Sie eine Übersicht über die verschiedenen Installationsarten bekommen, habe ich hier die unterschiedlichen Arten mit ihren Vor- und Nachteilen aufgeführt.
3.1.1Installation eines Domaincontrollers aus den DistributionspaketenBei Debian 12 wird (Stand beim Schreiben des Buches) in den offiziellen Repositories die Version 4.17 bereitgestellt. Diese Version ist aber schon zu alt, denn es gibt keine offiziellen Updates mehr. In den Backports zu Debian 12 befindet sich aber die Version 4.21, also die momentan aktuellste Version. Das wird auch die Version sein, die ich hier im Buch verwenden werde.
Vor- und Nachteile der Paketinstallation eines ADDC
Wenn Sie die Domaincontroller-Funktion direkt aus den Paketen der Distribution installieren, haben Sie den Vorteil, dass Sie alle Sicherheitsupdates automatisch erhalten und keine zusätzlichen fremden Quellen benötigen. Das betrifft auch die Installation aus den Debian Backports. Der Nachteil ist aber, dass Sie nie die aktuellste Version von Samba 4 erhalten und neue Funktionen daher nicht nutzen können. Wenn der Funktionsumfang der hier vorgestellten Distributionspakete für Sie ausreichend ist, sind Sie mit dieser Art der Installation gut beraten. Die Debian Backports werden außerhalb der regulären Repositories bereitgestellt. Da diese Pakete oft noch nicht durch alle Tests gelaufen sind, ist es in vielen Firmen nicht erlaubt, die Pakete aus den Backports zu nutzen.
3.1.2Installation eines Fileservers aus den DistributionspaketenFür die Funktion des Fileservers können Sie jede der großen Distributionen einsetzen. Da für den Fileserver kein Kerberos-Server benötigt wird, haben Sie bei allen Distributionen die Möglichkeit, einen Fileserver oder Client als Mitglied einer Active-Directory-Domäne zu installieren. Hier besteht nur ein Unterschied zwischen den bereitgestellten Versionen von Samba 4. Nach der Installation ist die Konfiguration bei allen Distributionen identisch.
Vor- und Nachteile der Paketinstallation eines Fileservers
Hier gilt das Gleiche wie schon vorher beim Domaincontroller. Wenn die Funktionen reichen, die Ihnen die Pakete aus der Distribution bieten, dann nehmen Sie diese Pakete. Aber auch hier gilt, dass Sie mit diesen Paketen nie den aktuellen Stand von Samba 4 erhalten. Wenn Sie einen CTDB-Cluster mit Samba realisieren wollen, dann ist es angebracht, wie auch schon beim Domaincontroller, eine möglichst aktuelle Samba-Version zu nutzen, da gerade hier immer sehr viele Änderungen stattfinden.
3.1.3Installation aus den QuellenBei dieser Art der Installation können Sie auf allen Distributionen sowohl den Active-Directory-Domaincontroller als auch den Fileserver installieren. Für jede Distribution müssen Sie dann die passende Build-Umgebung installieren. Auch GnuTLS und Python verlangt hier mittlerweile mehr Vorbereitung und ist nicht mehr so einfach wie bei älteren Versionen. Aus diesem Grund werde ich in dieser Auflage nicht mehr auf das Selberbauen von Samba eingehen.
Vor- und Nachteile der Installation aus den Quellen
Sie sind mit einer Installation aus den Quellen immer auf dem neuesten Stand der Entwicklung und können so auch immer alle Funktionen von Samba nutzen. Auch Distributionen, die über die Pakete die Funktion des Domaincontrollers nicht unterstützen, können Sie so als Domaincontroller einrichten. Aber: Sie haben immer eine Build-Umgebung mit Compiler und allen Libraries auf dem System und müssen für jedes Update Samba neu bauen. Ein einfaches Update ist nicht möglich. Gerade im produktiven Einsatz sollten Sie sich überlegen, ob das der richtige Weg ist. Sie müssen sich neben den Updates auch um alle anderen Abhängigkeiten selbst kümmern. Wenn Sie für sich die Entscheidung treffen, Samba aus den Quellen zu installieren, dann bauen Sie unbedingt ein Testsystem auf, auf dem Sie jedes neue Update erst testen.
3.1.4Installation der SerNet-PaketeMit der Version 4.3 hat die Firma SerNet die kostenfreie Bereitstellung der Samba-Pakete eingestellt. Die aktuellen Pakete können Sie nur noch über eine Subscription nutzen. Trotzdem sind die SerNet-Pakete immer noch eine sehr gute Alternative für den produktiven Einsatz. Die Stabilität und die Versorgung mit Updates ist sehr gut. Auch die Migration auf eine höhere Samba-Version ist gut getestet und unproblematisch.
Die Pakete stellen für alle unterstützten Distributionen (dazu zählen auch Red-Hat-und Suse-Systeme) immer auch die Funktion des Domaincontrollers zur Verfügung, sind immer auf dem aktuellen Stand und lassen sich über Repositories in das System einbinden und somit auch einfach aktualisieren. Wenn Sie also im Unternehmen eine andere Distribution als Debian oder Ubuntu nutzen, können die SerNet-Pakete eine sehr gute Wahl sein.
Vor- und Nachteile der Installation aus den SerNet-Paketen
Mit den SerNet-Paketen erhalten Sie aktuelle Pakete, die sich einfach verwalten und aktualisieren lassen. Durch den Support wird sichergestellt, dass die Pakete auch ohne Probleme auf eine neue Version aktualisiert werden können. Der Nachteil ist, dass die Pakete nicht mehr kostenlos bereitgestellt werden.
Hinweis
In der letzten Auflage habe ich hier noch die Pakete von Louis van Belle aufgeführt, aber auch gleich erläutert, welche Nachteile es hat, Pakete zu nutzen, die nur von einer Person gepflegt werden. Seit ein paar Jahren gibt es diese Pakete nicht mehr, da Louis von einem auf den anderen Tag keine neuen Pakete mehr bereitgestellt hat. Überlegen Sie sich daher genau, welche Paketquelle Sie nutzen wollen.
In diesem Abschnitt zeige ich Ihnen, welche Pakete Sie für Domaincontroller oder Fileserver installieren müssen. Die Installation auf dem Debian-System bezieht sich dabei auf die Pakete in den Backports.
Um die Backports von Debian nutzen zu können, ist es notwendig, dass Sie die Datei /etc/apt/sources.list um die Zeile aus Listing 3.1 erweitern:
Listing 3.1 Einbinden der Backports
deb http://deb.debian.org/debian bookworm-backports main
Anschließend aktualisieren Sie Ihre Repository-Liste mit dem Kommando apt-get update.
Installation über die Pakete
Wie bei Debian üblich, werden die Pakete hier über die Kommandozeile mittels apt-get installiert. Listing 3.2 zeigt die Installation für einen ADDC:
Listing 3.2 Installation unter Debian 12
root@dc01:~# apt-get -t bookworm-backports install samba-ad-dc \ samba-ad-provision bind9 bind9utils dnsutils lmdb-utils ldb-tools
Allen, die schon mal früher Samba als Domaincontroller unter Debian installiert haben, fällt hier auf, dass es jetzt eigene Pakete für die Einrichtung eines Domaincontrollers gibt. Die Pakete bind9, bin9utils und dnsutils benötigen Sie nur, wenn Sie den Bind9 als DNS-Backend einsetzen wollen. Bei der Konfiguration des ersten Domaincontrollers in Kapitel 5 werde ich näher auf die Unterschiede und die verschiedenen Einrichtungen eingehen. Das Paket lmdb-utils benötigen Sie nur, wenn Sie anstelle der TDB-Datenbanken die LMDB-Datenbanken für Ihre Objekte verwenden wollen. Mehr dazu finden Sie in Kapitel 4, »Einrichten des ersten Domaincontrollers«.
Die Konfigurationsdatei smb.conf befindet sich später im Verzeichnis /etc/samba. Diese Datei ist bei Debian und Ubuntu nach der Installation der Pakete bereits vorhanden. Löschen Sie diese Datei vor dem Einrichten der Domäne auf jeden Fall, da es sonst zu Fehlern während der Einrichtung der Domäne kommt. Alle Dateien, die Datenbanken und die sysvol-Freigabe befinden sich im Verzeichnis /var/lib/samba.
Wenn Sie einen Domaincontroller unter Debian einrichten wollen und aus dem Grund die Pakete aus den Backports installiert haben, ist es nicht mehr notwendig, den Systemd anzupassen. Da die Pakete für den Domaincontroller extra installierbar sind, wird bei der Installation der Pakete auch gleich der Systemd korrekt eingerichtet.
Für den Fileserver oder einen Linux-Client installieren Sie die Pakete aus Listing 3.3:
Listing 3.3 Pakete für den Linux-Fileserver und -Clients
apt-get install -t bookworm-backports samba winbind samba-vfs-modules \ libpam-winbind libnss-winbind smbclient libpam-heimdal
Für alle großen Distributionen können Sie auf die Pakete der Firma SerNet zurückgreifen. Wie anfangs schon beschrieben, haben Sie mit diesen Paketen den großen Vorteil, dass Sie einfach die Repositories in Ihr System einbinden und dann über die Paketverwaltung Ihrer Wahl die Pakete installieren und aktuell halten können. Die Pakete sind immer auf dem aktuellsten Stand der Samba-Entwicklung, und Sie können somit auch alle neuen Funktionen wie den Aufbau eines CTDB-Clusters oder der Domain-Trusts verwenden.
Da die Installation der SerNet-Pakete für alle Distributionen nahezu identisch ist, werde ich an dieser Stelle nur die Installation der Pakete unter Debian genau beschreiben. Wenn Sie eine andere Distribution verwenden, können Sie einfach den Anleitungen auf der SerNet-Website folgen.
Um überhaupt auf die aktuellen Pakete zugreifen zu können, benötigen Sie als Erstes eine Subscription, die Sie über die Website https://shop.samba.plus/samba erwerben können. Eins spezielles Passwort, um die Repositories nutzen zu können, benötigen Sie nicht mehr. Der Subscription Key und ein Standardpasswort sind ausreichend.
Erweitern Sie Ihre Datei /etc/apt/sources.list um die Zeilen aus Listing 3.4:
Listing 3.4 Erweiterung der Datei /etc/apt/sources.list
deb https://KEY:[email protected]/subscriptions/samba/\ 4.14/debian bookworm main deb-src https://KEY:[email protected]/subscriptions/samba/\ 4.14/debian bookworm main
Dabei müssen Sie den KEY durch Ihren Subscription Key ersetzen und das PASSWORD durch das Standardpasswort.
Bevor Sie jetzt ein apt-get upgrade durchführen können, installieren Sie erst noch die GPG-Schlüssel. Dieser Vorgang ist nur für Debian-basierte Distributionen nötig, bei allen anderen Distributionen wird der GPG-Key beim Update der Repository-Listen automatisch installiert. Zusätzlich müssen Sie bei Debian das Paket für HTTPS-Verbindung über apt-get installieren. Listing 3.5 zeigt diesen Vorgang:
Listing 3.5 Installieren der GPG-Schlüssel
root@sambabuch:~# apt-get install apt-transport-http root@sambabuch:~# wget \ https://download.sernet.de/pub/sernet-samba-keyring_latest_all.deb root@sambabuch:~# dpkg -i sernet-samba-keyring_latest_all.deb
Nach einer Aktualisierung der Repositories können Sie sich die Liste der Pakete, die SerNet bereitstellt, auflisten lassen.
Wollen Sie jetzt einen Domaincontroller installieren, benötigen Sie die Pakete wie in Listing 3.6:
Listing 3.6 Installation der ADDC-Pakete
root@dc01:~# apt-get install sernet-samba-ad libpam-heimdal lmdb-utils
Wollen Sie einen Domainmember installieren, benötigen Sie die Pakete aus Listing 3.7:
Listing 3.7 Installation der Member-Pakete
root@dc01:~# apt-get install sernet-samba sernet-samba-winbind \ libpam-heimdal
Hinweis
Wenn Sie den Domaincontroller zusammen mit Bind9 einrichten wollen, benötigen Sie noch die Pakete bind9, bind9utils und dnsutils.
In der Konfigurationsdatei /etc/default/sernet-samba legen Sie die Startart des Samba-Dienstes fest. Über die Variable SAMBA_START_MODE=none können Sie entscheiden, ob Samba als Domaincontroller SAMBA_START_MODE=dc oder als Memberserver/Client SAMBA_START_MODE=classic gestartet wird.
Hinweis
Diese Datei finden Sie für die SerNet-Pakete auf allen Distributionen. Daher ist es sehr einfach, Samba auf verschiedenen Distributionen einzusetzen, da die Installation und Aktivierung der Dienste immer identisch sind.
Wie immer bei den SerNet-Paketen wird keine smb.conf bei der Installation der Pakete bereitgestellt.
Wenn Sie einen neuen Domaincontroller oder Memberserver oder einen Client installieren wollen, können Sie in diesem Kapitel alle Schritte nachvollziehen. Im weiteren Verlauf werde ich daher die Installation der Samba-Software nicht mehr erklären, da von diesem Zeitpunkt die weitere Administration immer identisch ist, egal welchen Weg der Installation und welche Distribution Sie gewählt haben.
Nach der ausführlichen Beschreibung der Installation im letzten Kapitel geht es jetzt darum, den ersten Samba-Active-Directory-Domaincontroller einzurichten. Dabei geht es nicht nur um die reine Konfiguration, sondern auch um einige Tests, mit denen Sie die Funktion des Domaincontrollers überprüfen können.
Für Samba 4 wird, wie auch bei einem Windows-Domaincontroller, auf jeden Fall ein Kerberos-Server für die Authentifizierung der Benutzer benötigt. Dieser wird von Samba 4 bereitgestellt.
Hinweis
Zurzeit wird hier noch der Heimdal-Kerberos verwendet. Der MIT-Kerberos-Server hat immer noch den Status experimental.
Zusätzlich benötigt Samba 4 auf jeden Fall einen DNS-Server, der nicht nur zur Auflösung der Hostnamen dient, sondern auch zur Auflösung der benötigten Dienste in der Domäne – den SRV-Records. Der DNS-Server kann entweder von Samba 4 bereitgestellt werden oder Sie können einen Bind9-Nameserver verwenden. Im Gegensatz zum internen Nameserver unterstützt der Bind9 die Funktion round robin, um eventuell unterschiedliche IP-Adressen der Server und Dienste in verschiedener Reihenfolge an die Clients zu geben. Diese Funktion ist unerlässlich, wenn Sie planen, einen CTDB-Cluster in Ihren Domänen einzurichten. Sobald Sie Samba als Active Directory in einer größeren Umgebung mit vielen Clients und Servern einsetzen, ist es auf jeden Fall sinnvoll, den Bind9 zu nutzen. Ich werde Ihnen hier auf jeden Fall beide Varianten erklären.
4.1Allgemeines zum Einrichten des DomaincontrollersFür die Konfiguration und Administration eines Samba-4-Servers steht Ihnen das Kommando samba-tool zur Verfügung. Mit diesem Kommando können Sie die Domäne einrichten und verwalten, aber auch später die Benutzer und Gruppen sowie die Gruppenrichtlinien und den DNS-Server verwalten, wobei die Verwaltung der DNS-Einträge unabhängig vom verwendeten DNS-Server ist. Es spielt keine Rolle, ob Sie den internen DNS-Server oder Bind9-DNS-Server verwenden.
Aufgrund der vielen neuen Möglichkeiten, die Ihnen das Kommando samba-tool bietet, werde ich in den verschiedensten Kapiteln immer wieder die gerade benötigten Punkte des Menüs besprechen. In Kapitel 17, »Samba 4 über die Kommandozeile verwalten«, werde ich dann alle bis dahin noch nicht angesprochenen Punkte aufgreifen.
In Listing 4.1 sehen Sie eine Übersicht über die Aufgaben in Ihrer Domäne, die Sie mit dem Kommando samba-tool durchführen können:
Listing 4.1 Ein Testlisting
Available subcommands: computer - Computer management. contact - Contact management. dbcheck - Check local AD database for errors. delegation - Delegation management. dns - Domain Name Service (DNS) management. domain - Domain management. drs - Directory Replication Services (DRS) management. dsacl - DS ACLs manipulation. forest - Forest management. fsmo - Flexible Single Master Operations (FSMO) roles management. gpo - Group Policy Object (GPO) management. group - Group management. ldapcmp - Compare two ldap databases. ntacl - NT ACLs manipulation. ou - Organizational Units (OU) management. processes - List processes (to aid debugging on systems without setproctitle). rodc - Read-Only Domain Controller (RODC) management. schema - Schema querying and management. service-account - Service Account and Group Managed Service Account management. shell - Open a SAMBA Python shell. sites - Sites management. spn - Service Principal Name (SPN) management. testparm - Syntax check the configuration file. time - Retrieve the time on a server. user - User management. visualize - Produces graphical representations of Samba network state.
Wenn Sie diese Ausgabe mit einer älteren Samba-Version vergleichen, werden Sie hier schon feststellen, dass einige Punkte neu hinzugekommen sind. Auch in den einzelnen Untermenüs gibt es weitere Neuerungen.
Immer, wenn Sie das Kommando samba-tool mit einem der Subkommandos angeben, ohne weitere Parameter zu verwenden, bekommen Sie eine Hilfe zu dem entsprechenden Subkommando angezeigt.
4.1.1DatenbankformatSeit Samba 4.11 ist das LMBD-Format das bevorzugte Datenbankformat. Das Datenbankformat hat erhebliche Vorteile gegenüber dem alten TDB-Format. Die Datenbankgröße kann größer sein, und die Zugriffe sind schneller. Die Standardgröße der Datenbank ist jetzt 8 GB.
LMDB verwendet memory mapped files. Bei einer Standardgröße von 8 GB zeigen Werkzeuge wie htop eine Nutzung des virtuellen Speichers zwischen 40 GB und 80 GB an. Das ist aber kein Fehler, sondern hängt mit der Eigenart der LMBD zusammen. Mehr zu dem Thema finden Sie unter https://symas.com/understanding-lmdb-database-file-sizes-and-memory-utilization/.
