Samba 3.x als Domänen-Mitglied
Beitritt zu einer Windows 2003-Domäne mit Benutzerübernahme
Samba - Dein Auftritt!
Als nächstes möchten wir den Server in die Domäne integrieren. Das ist notwendig, um auch die Benutzer und Gruppen der Domäne zu erhalten. Vorweg muss allerdings einmal smb.conf genauer unter die Lupe genommen werden. Deswegen hier der Auszug aus meiner Beispiel-smb.conf:
[global] workgroup = PRODAS netbios name = Fileserver realm = PRODAS.LOCAL idmap uid = 10000-15000 idmap gid = 10000-15000 winbind separator = / winbind use default domain = Yes security = ADS encrypt passwords = yes password server = pds-ad.prodas.local client use spnego = yes [backup] comment = Backup path = /srv/samba browseable = yes read only = no guest ok = no valid users = @alle create mask = 0770 directory mask = 0770
Hier gibt es einige Neuerungen, aus diesem Grund erläutere ich die wichtigsten neuen Einstellungen:
Parameter | Erklärung |
---|---|
workgroup | Arbeitsgruppe |
netbios name | Name des Servers |
realm | Entspricht dem Kerberos-Realm |
idmap uid | Definiert den Bereich der User-IDs, der gebraucht wird, um die Benutzer der Domäne auf die Unix-Benutzer zu mappen. |
idmap gid | Definiert den Bereich der Gruppen-IDs, der gebraucht wird, um die Gruppen der Domäne auf die Unix-Gruppen zu mappen. |
winbind separator | Dieser Parameter gibt an, mit welchen Trennzeichen die Benutzer auf dem Unix-System aufgelistet werden. »/« gibt an, dass die Benutzer nach dem Prinzip DOMÄNE/USER aufgelistet werden |
winbind use default domain | Gibt an, ob Winbind ohne Domänenbezeichnung mit den Benutzernamen arbeitet |
security | Samba arbeitet als Domänen-Mitglied in einem ADS-Realm |
encrypt passwords | Passwörter sind verschlüsselt |
password server | Server zur Passwort-Validierung |
client use spnego | SMB-Signing wird aktiviert. Damit wird praktisch die Kerberos-Authentifizierung aktiviert. |
In smb.conf haben wir unseren Server gesagt, dass er ein Domänen-Mitglied wird. Bevor das alles funktionieren kann, müssen wir den Server in die Domäne aufnehmen. Dazu verwenden wir den neuen Befehl net
. In früheren Versionen von Samba wurde dafür smbpasswd
verwendet. Dieses Tool wurde ab 3.x durch den net
Befehl ersetzt. Um den Server in die Domäne Prodas zu integrieren, nutzt man folgenden Befehl:
net join -S prodas -UAdministrator%password
Danach sollte man ungefähr folgende Meldung erhalten:
Joined 'PDS-BACKUP' to realm 'PRODAS.LOCAL'
Damit ist der Rechner erfolgreich in die Domäne aufgenommen und somit sind wir ebenfalls ein Schritt weiter. Nun geht es darum, die Benutzer und Gruppen von der Domäne zu erhalten.