Samba 4

Inhalt

Vorwort

1 Einleitung

1.1 Formales

1.1.1 Kommandozeile vs. grafische Administration

1.2 Schriftarten

1.2.1 Eingabe langer Befehle

1.2.2 Screenshots

1.2.3 Internetverweise

1.2.4 Icons

1.3 Linux-Distributionen

2 Grundlagen

2.1 Das Protokoll SMB

2.1.1 Was hat sich bei Samba getan?

2.2 Das Protokoll NetBIOS

3 Installation von Samba

3.1 Unterschiede zwischen den verschiedenen Samba-4-Versionen

3.2 Die verschiedenen Installationsarten

3.2.1 Installation eines Domaincontrollers aus den Distributionspaketen

3.2.2 Installation eines Fileservers aus den Distributionspaketen

3.2.3 Installation aus den Quellen

3.2.4 Installation der SerNet-Pakete

3.2.5 Installation der Pakete von Louis van Belle

3.3 Installationen unter den verschiedenen Distributionen

3.3.1 Debian 10

3.3.2 Ubuntu 20.04

3.3.3 CentOS 7

3.3.4 Suse Leap 15.x

3.3.5 Installation der SerNet-Pakete

3.3.6 Installation der Pakete von Louis van Belle

4 Einrichten des ersten Domaincontrollers

4.1 Allgemeines zum Einrichten des Domaincontrollers

4.1.1 Neues Datenbankformat

4.1.2 Vorbereitungen für den ersten Domaincontroller

4.2 Konfiguration des ersten Domaincontrollers

4.2.1 Teil 1 mit dem internen DNS-Server (interaktiv)

4.2.2 Teil 1 mit dem internen DNS-Server (über Parameter)

4.2.3 Nach dem Provisioning mit dem internen DNS

4.3 Konfiguration des ersten Domaincontrollers (DC Teil 2)

4.3.1 Anpassung des Systemd

4.4 Testen des Domaincontrollers

4.4.1 Testen der Prozesse

4.4.2 Testen der Serverports

4.4.3 Testen des DNS-Servers

4.4.4 Testen des Verbindungsaufbaus

4.4.5 Testen des Kerberos-Servers

4.4.6 Testen des LDAP-Servers

4.5 Konfiguration des Zeitservers

4.6 Zertifikate ändern

4.6.1 Erstellen selbst signierter Zertifikate

4.6.2 Umstellung auf das eigene Zertifikat

5 Die Benutzerverwaltung

5.1 Benutzer- und Gruppenverwaltung über die Kommandozeile

5.1.1 Verwaltung von Gruppen über die Kommandozeile

5.1.2 Verwaltung von Benutzern über die Kommandozeile

5.1.3 Ändern und Suchen von Benutzern mit den ldb-tools

5.2 Die Remote Server Administration Tools (RSAT)

5.2.1 Einrichtung RSAT bis einschließlich Version 1803

5.2.2 Einrichtung RSAT ab Version 1809

5.3 Benutzer- und Gruppenverwaltung mit dem LAM

5.3.1 Installation des LAM

5.3.2 Konfiguration des LAM

5.3.3 Arbeiten mit dem LAM

6 Gruppenrichtlinien

6.1 Gruppenrichtlinien – Grundlagen

6.2 Verwaltung der GPOs mit den RSAT

6.2.1 Erste Schritte mit dem Gruppenrichtlinieneditor

6.2.2 Erstellen einer Gruppenrichtlinie

6.2.3 Verknüpfung der Gruppenrichtlinie mit einer OU

6.2.4 Verschieben der Benutzer und Gruppen

6.3 GPOs über die Kommandozeile

6.3.1 Reparieren der ACLs von Gruppenrichtlinien

6.3.2 Sichern der GPOs

6.3.3 Prüfen der Gruppenrichtlinienreplikation

7 Verwaltung von Domaincontrollern

7.1 Installation des neuen DCs

7.1.1 Konfiguration des DNS-Servers

7.2 Konfiguration des zweiten DCs

7.2.1 Testen des neuen Domaincontrollers

7.2.2 Neue Zertifikate

7.3 Replikation der Freigabe sysvol

7.3.1 Testen der FSMO-Rolle

7.3.2 Einrichten von rsync auf dem PDC-Master

7.3.3 Konfiguration aller anderen DCs

7.3.4 Einrichtung eines Cron-Jobs

7.3.5 Anpassen der smb.conf auf den Client-DCs

7.4 Die FSMO-Rollen

7.4.1 Verwaltung der FSMO-Rollen mit samba-tool

7.4.2 Auflisten aller Rollen

7.4.3 Transferieren der FSMO-Rollen

7.5 Entfernen eines aktiven Domaincontrollers

7.6 Entfernen eines ausgefallenen Domaincontrollers

7.7 Standorte und Subnetze

7.8 Der read-only Domaincontroller

7.8.1 Installation des RODC

7.8.2 Verwalten der Benutzer auf einem RODC

8 Ausfallsicherer DHCP-Server

8.1 Der erste DHCP-Server

8.1.1 Vorbereitungen für den ersten DHCP-Server

8.1.2 Konfiguration des ersten DHCP-Servers

8.1.3 Konfiguration des zweiten DHCP-Servers

8.1.4 Deaktivierung der automatischen DNS-Einträge

9 Zusätzliche Server in der Domäne

9.1 Einrichten eines Linux-Fileservers

9.2 ID-Mapping

9.3 Einrichten des Fileservers

9.3.1 Grundkonfiguration des Fileservers

9.4 Konfiguration über die Registry

9.5 Die Registry-Datenbank

9.6 Das Kommando net conf

10 Verwaltung von Freigaben

10.1 Freigabenverwaltung über die Datei smb.conf

10.2 Verwaltung der Freigaben über die Registry

10.2.1 Erstellen einer Freigabe in der Registry

10.2.2 Zugriff auf eine Freigabe aus der Registry

10.2.3 Erweitern einer Freigabe in der Registry

10.2.4 Sichern der Freigabeeinstellungen aus der Registry

10.2.5 Löschen einer Freigabe aus der Registry

10.2.6 Wiederherstellen von Freigaben in der Registry

10.3 Die Freigabe der Heimatverzeichnisse

10.3.1 Einrichtung der Freigabe für servergespeicherte Profile

10.4 Allgemeine Freigaben

10.4.1 Administrative Freigaben

10.4.2 Erstellen einer Freigabe unter Windows

10.4.3 Eine Freigabe mit hide unreadable

10.4.4 Eine Freigabe mit Netzwerkpapierkorb

10.5 Zuweisung der Freigaben über Gruppenrichtlinien

10.5.1 Anlegen der Gruppenrichtlinie

10.5.2 Testen auf der Konsole

10.6 GPO für Profile und Ordnerumleitung

10.6.1 Basisordner über GPO anlegen und zuweisen

10.6.2 Servergespeicherte Profil über GPO einrichten

10.6.3 Die Ordnerumleitung über GPOs

10.6.4 Größe des Profils über eine GPO beschränken

10.7 Weitere Freigabemöglichkeiten

10.7.1 Schreibgeschützt während einer bestimmten Zeit

10.7.2 Das VFS-Modul WORM

10.8 Samba und das Distributed File System (DFS)

10.8.1 Grundlagen DFS

10.8.2 Samba4 als DFS-Proxy

10.8.3 Einrichtung einer DFS-Freigabe mit DFS-Link

11 Das Dateisystem

11.1 Dateisystemberechtigungen

11.1.1 Vererbung der Rechte

11.1.2 Aufhebung der Vererbung

11.1.3 Ändern des Besitzers

11.2 Dateisystemquotas

11.2.1 Installation und Aktivierung der Quotas

11.2.2 Quota-Einträge verwalten

12 Verwaltung von Clients in der Domäne

12.1 Hinzufügen eines Windows-Clients in die Domäne

12.2 Hinzufügen eines Linux-Clients zur Domäne

12.2.1 Installation und Konfiguration

12.2.2 Konfiguration des winbind

12.3 Zugriff von Linux-Clients auf Samba-Freigaben

12.3.1 Anmeldung mit grafischer Oberfläche

12.3.2 Caching der Anmeldeinformationen

12.4 Linux-Clients und Gruppenrichtlinie

12.4.1 Installation der ADMX-Dateien

12.4.2 Anlegen einer Linux-GPO

12.5 Der macOS-Client

12.5.1 Grundlegendes für macOS-clients

12.5.2 Die erste Freigabe für macOS-Clients

13 Cluster mit CTDB

13.1 Vorbereiten der Systeme

13.2 GlusterFS

13.2.1 Clients und Protokolle

13.2.2 Die verschiedenen Modi

13.2.3 Installation der Gluster-Pakete

13.2.4 Konfiguration der Knoten

13.2.5 Einrichten der Bricks

13.2.6 Einrichtung des Volumes

13.2.7 Verwenden des Volumes

13.2.8 Das Quorum

13.2.9 Einrichten des Client-Quorums

13.2.10 Austausch eines Knotens

13.2.11 Ersetzen eines ausgefallenen Bricks

13.2.12 Erweitern des Volumes

13.2.13 Gluster-Snapshots

13.3 CTDB

13.3.1 Installation der Software

13.3.2 Installation des Kerberos-Clients

13.3.3 Einträge im DNS-Server erstellen

13.3.4 Konfiguration von CTDB

13.3.5 Erstellen der Konfiguration für Samba

13.3.6 Starten und Testen des CTDB-Cluster

13.3.7 Das Kommando onnode

13.3.8 Benutzer und Freigaben

14 Schemaerweiterung

14.1 Vorbereitung der Installation

14.2 Zusätzliche Attribute erstellen

15 Sicherung der Datenbanken

15.1 Sicherung der Datenbanken

15.1.1 Möglichkeiten zur Sicherung der Datenbanken

15.1.2 Wiederherstellung der Domäne aus dem Backup

16 Vertrauensstellungen

16.1 Vertrauensstellung zwischen zwei Forests

16.1.1 Die Einrichtung der Domänen

16.2 Einrichten eines DNS-Proxys

16.2.1 Installation und Konfiguration

16.2.2 Umstellung an den Domaincontrollern

16.3 Einrichten der Vertrauensstellungen

16.4 Der Windows-Client

16.5 Der Linux-Client

16.6 Verwaltung von Namespaces

16.7 Einrichtung von Namespaces

17 Samba 4 über die Kommandozeile verwalten

17.1 Das Kommando samba-tool

17.1.1 samba-tool computer

17.1.2 samba-tool contact

17.1.3 samba-tool dbcheck

17.1.4 samba-tool drs

17.1.5 samba-tool dsacl

17.1.6 samba-tool fsmo

17.1.7 samba-tool gpo

17.1.8 samba-tool group

17.1.9 samba-tool ldapcmp

17.1.10 samba-tool ntacl

17.1.11 samba-tool sites

17.1.12 samba-tool user

17.1.13 Zusammenfassung

17.2 Das Kommando net

17.2.1 net rpc

17.2.2 net ads

17.2.3 net status

17.2.4 Zusammenfassung

17.3 Die smb-Kommandos

17.3.1 smbclient

17.3.2 smbstatus

17.3.3 Zusammenfassung

17.4 Skripte

17.4.1 Anlegen von Benutzern

17.4.2 Ändern von Benutzern

17.4.3 Entfernen von gelöschten Objekten

17.5 Fazit zur Kommandozeile

18 Die Migration einer bestehenden Domäne

18.1 Migration von Samba

18.1.1 Migration einer tdb-Backend-Domäne

18.1.2 Migration der Benutzer und Gruppen aus einem OpenLDAP

18.2 Migration eines Windows-Servers

18.2.1 DNS-Einträge erstellen und prüfen

18.2.2 Global Catalog umziehen

18.2.3 Übertragung der FSMO-Rollen

18.2.4 Prüfen der Gruppenrichtlinien

19 Samba 4 als Printserver

19.1 Vorbereitungen

19.1.1 Privilegien für die Druckerverwaltung

19.2 Vorbereitungen des CUPS-Drucksystems

19.3 Einrichten der Freigaben

19.3.1 Einrichten eines Druckers mit CUPS

19.4 Hochladen der Druckertreiber

19.5 Zuordnung des Druckertreibers

19.6 Verbinden mit dem Drucker

19.7 Gruppenrichtlinien für Drucker

19.7.1 Gruppenrichtlinien für unsignierte Druckertreiber

19.7.2 Gruppenrichtlinie für die Druckerzuweisung

20 WINS und Samba 4

20.1 Einrichten des Knotentyps

20.2 Konfiguration des WINS-Servers

20.3 Einrichten der Replikation

20.4 Backup und Recovery der WINS-Daten

20.5 Testen der WINS-Server

21 Virenscanner auf dem Fileserver

21.0.1 Einrichten von ClamAV

21.0.2 EICAR-Testsignatur

21.0.3 Einrichten des clamd

21.1 Samba und Virusfilter

22 Nutzung des Kerberos-Servers

22.1 Einrichtung des ssh-Servers

22.2 Einrichten des Clients

22.3 Einrichtung für den Apache-Webserver

23 Firewall und Sicherheit

23.1 Firewall

23.1.1 Ports auf einem Domaincontroller

23.1.2 Ports auf einem Fileserver

23.2 Sicherheit

23.2.1 Absichern des Betriebssystems

23.2.2 Absichern des Samba-Dienstes

24 Hilfe zur Fehlersuche

24.1 Installations- und Konfigurationsfehler

24.1.1 Der erste Domaincontroller

24.1.2 Der zweite Domaincontroller

24.1.3 Replikation der sysvol-Freigabe

24.1.4 Der Fileserver

24.2 Fehler im laufenden Betrieb

24.2.1 Fehler bei der Replikation

24.2.2 Berechtigungsprobleme bei den ACLs

24.2.3 Ungleiche Zeit auf den Domaincontrollern

24.3 Logfile-Analyse

24.3.1 Logfile-Analyse auf dem Domaincontroller

24.3.2 Logfile-Analyse auf dem Fileserver

25 Einrichtung mit Ansible

25.1 Vorüberlegungen

25.1.1 Die Umgebung

25.1.2 Das Inventory

25.2 Der erste Domaincontroller

25.2.1 Variablen für die Domaincontroller

25.2.2 Die Tasks

25.3 Fileserver einrichten mit Ansible

25.3.1 Nach Installation aller Server

26 Jetzt alles zusammen

26.1 Das Unternehmen

26.2 Planung des Active Directorys

26.3 Installation des ersten Domaincontrollers

26.4 Einrichtung des Zeitservers

26.5 Installation des zweiten Domaincontrollers

26.5.1 Replikation der Freigabe sysvol

26.6 Konfiguration von GlusterFS

26.7 Konfiguration von CTDB

26.8 Konfiguration von Samba

26.9 Einrichten der administrativen Freigaben

26.10 Einrichten des Druckservers

26.11 Nachwort zum Workshop

Stichwortverzeichnis