Linux als NT 4.0-Server
[global] # Alle Angaben betreffen die ganzen Samba-Ressourcen. workgroup = DATA # Das ist die Domäne, in der wir uns später anmelden. keep alive = 30 # Prüft alle 30 Sekunden, ob noch eine Client-Verbindung besteht. security = user # Sicherheitsüberprüfung befindet sich auf der User-Ebene. Es muß also ein Benutzername und ein Benutzerkennwort angegeben werden. logon script = netlogon.bat # Dateiname der auszuführenden Anmeldedatei. logon path = \\%L\profiles\%U # Pfad zum Profiles-Verzeichnis. # %L ist des NetBIOS-Name des Samba-Servers. # %U ist der Benutzername. domain logons = yes # Domänenlogons werden erlaubt. domain master = yes # Aktiviert das WAN-weite Browsing encrypt passwords = yes # Passwörter werden verschlüsselt. [netlogon] # Freigabename "netlogon" comment = Netlogon-Resource # Detailliertere Beschreibung der freigegebenen Ressource path = /samba/netlogon # Pfad des netlogon-Verzeichnisses browseable = yes # Die Ressource kann durch einen Suchdienst gefunden werden. writable = no # Generell ist das Schreiben verboten # Damit die Datei netlogon.bat erstellt werden kann, muß kurzeitig die # Option writable = yes gesetzt werden, oder # es muß der Parameter write list = root gesetzt werden, damit nur der # User root permanent schreiben kann. # Hinweis: Die netlogon.bat muß mit einem DOS-Editor geschrieben werden. [profiles] path = /samba/profiles browseable = no writable = yes create mask = 700 # Wenn neue Dateien erstellt wurden, dann erhalten sie alle Rechte (lesen, # schreiben, ausführen) für den Besitzer. directory mask = 700 # Wenn neue Verzeichnisse erstellt wurden, dann erhalten sie alle Rechte # (lesen, schreiben, ausführen) für den Besitzer. [alles] # Freigabename alles comment = Alles auf Linux path = / valid users = root # Alle User, die in diesem Fall auf die Resource zugreifen dürfen. browseable = no writable = yes # Generell ist das Schreiben erlaubt create mask = 0700 # Wenn neue Dateien erstellt wurden, dann erhalten sie alle Rechte (lesen, # schreiben, ausführen) für den Besitzer und der Gruppe. # Diese Angabe ist besonders wichtig, da sonst nur der Ersteller volle # Rechte auf die erstellten Dateien hat. directory mask = 0700 # Wenn neue Verzeichnisse erstellt wurden, dann erhalten sie alle Rechte # (lesen, schreiben, ausführen) für den Besitzer und der Gruppe. # Diese Angabe ist besonders wichtig, da sonst nur der Ersteller volle # Rechte auf die erstellten Verzeichnisse hat. [daten1] comment = Daten-Ressource path = /daten1 valid users = @samba # Alle User in der Gruppe samba, die in diesem Fall auf die Ressource # zugreifen dürfen. Der Gruppenzugriff wird durch # das @-Zeichen gekennzeichnet. browseable = yes writable = yes create mask = 0770 directory mask = 0770 [daten2] comment = Daten-Ressource path = /daten2 valid users = @samba browseable = yes writable = yes create mask = 0770 directory mask = 0770 [cdrom] comment = Linux CD-ROM path = /cdrom valid users = @samba writable = no locking = no
Alle Zeilen, die mit einer Raute (#) beginnen, stellen bloß Kommentare dar, die ansonsten nichts weiter zur Sache tun. Wir haben jetzt eine Ressource »alles«, in der der User root alle Rechte auf dem ganzen System hat. Weiterhin haben wir die Ressourcen daten1, daten2, profiles und netlogon, auf der nur User zugreifen können, die sich in der Gruppe »samba« befinden. Jetzt müssen wir nur noch User anlegen, damit auf die Domäne DATA zugegriffen werden kann. Vorher muß allerdings noch die Passwortdatei smbpasswd erstellt werden, in der alle verschlüsselten Passwörter stehen. Mit dem Befehl
cat /etc/passwd | mksmbpasswd.sh > /etc/smbpasswd
wird diese Datei erstellt. Danach werden wir die User anlegen, die auf die Domäne Zugriff haben. Jetzt erstellen wir erst einmal einen User, der sich in der Gruppe samba befinden soll. Dabei darf er sich nicht lokal an dem Linux-Rechner anmelden können.
useradd -g samba -s /bin/false user1
Der User wurde erstellt und wir haben ihm das Recht gegeben, sich anmelden zu dürfen. Damit wird er aber nicht viel Erfolg haben, da er noch kein Passwort besitzt. Mit folgendem Befehl erteilen wir ihm ein verschlüsseltes Passwort:
smbpasswd -a -e user1
Danach erscheint eine Aufforderung zur Passworteingabe. Jetzt wäre es sinnvoll, ein sogenanntes Übergangspasswort zu erteilen, wie z.B. "anmeldung". Dieses Passwort wird dem User mitgeteilt, der sich zum ersten Mal an der Domäne anmeldet. Daraufhin sollte der User es selber wieder ändern, damit die Sicherheit des Netzes nicht gefährdet wird. Alternativ könnte man auch überhaupt kein Passwort mit dem Befehl
smbpasswd -a -n -e user1
erstellen, was allerdings nicht sehr empfehlenswert ist. So, jetzt sind wir so weit, daß sich alle Windows95/98-Rechner an der Domäne DATA anmelden können. Ein Problem haben wir allerdings noch! Windows NT 4.0-Rechner müssen, um sich in einer NT-Domäne erfolgreich anmelden zu können, in der entsprechenden Domäne integriert werden. NT-User werden es wahrscheinlich gewohnt sein, sich von der WKS aus in die Domäne zu integrieren. Dieses ist leider noch nicht in Samba implementiert (folgt aber bestimmt noch ;-)). Um sich erfolgreich in die Domäne zu integrieren, geben wir folgendes ein:
useradd -s /bin/false RECHERNAME$ smbpasswd -a -m RECHNERNAME$
Bei der Angabe des Rechnernamens muß ein $-Zeichen stehen. Nun muß über Windows NT der Rechner nur noch integriert werden (Netzwerkumgebung, Eigenschaften, Ändern, Domäne = DATA, OK). So, damit sollte alles abgeschlossen sein, um sich komplett anmelden zu können. Damit aber auch beim Anmelden alle Netzlaufwerke sofort zur Verfügung stehen, muß noch die netlogon.bat erstellt werden, die wie folgt aussieht:
Datei: netlogon.bat
net use f: \\name_des_samba_server\alles net use g: \\name_des_samba_server\daten1 net use h: \\name_des_samba_server\daten2 net use i: \\name_des_samba_server\cdrom
Fazit
Einer der größten Nachteile, die mich besonders ärgern, sind die (noch) fehlenden Parameter für die Anmelderechte unter NT. Selbst in der aktuellsten Version 2.0.6 finden sich diese Parameter nicht wieder. Falls sich jemand unter NT auf die Domäne anmeldet, hat der nur die normalen »Domänen-Benutzer«-Rechte. Dies halte ich für einen sehr großen Nachteil, da viele Anwendungen in die NT-Registrierung schreiben müssen und es mit diesen Recht nicht können. Von dieser Seite ist Samba (noch) nicht so weit, um professionell eingesetzt werden zu können. Andererseits zeichnet sich dieses System durch das Preis-Leistungs-Verhältnis, sowie seine Stabilität aus. Falls ein Netz benutzt wird, wo nur Windows95/98-Rechner laufen, sollte auf diese Alternative zurückgegriffen werden!
Quellen
- SuSE-Handbuch
- Chip Linux für Einsteiger
- TCP/IP - Netzanbindung von PCs
- c't 1999, Heft 18
- smb.conf Manpage
- http://www.t-king.de/linux/samba/pdc.txt
- http://ttrip1.fh-worms.de/sem/ss96/samba/samba.html
- http://de.samba.org/
