Samba 4 - Das Handbuch für Administratoren

Stefan Kania

Samba 4

Das Handbuch für Administratoren

2021

547 Seiten

Format: PDF, ePUB, Online Lesen

E-Book: €  39,99

E-Book kaufen

E-Book kaufen

ISBN: 9783446469785

 

Inhalt

7

Vorwort

17

1 Einleitung

21

1.1 Formales

21

1.1.1 Kommandozeile vs. grafische Administration

21

1.2 Schriftarten

22

1.2.1 Eingabe langer Befehle

22

1.2.2 Screenshots

22

1.2.3 Internetverweise

22

1.2.4 Icons

23

1.3 Linux-Distributionen

23

2 Grundlagen

25

2.1 Das Protokoll SMB

25

2.1.1 Was hat sich bei Samba getan?

26

2.2 Das Protokoll NetBIOS

27

3 Installation von Samba

29

3.1 Unterschiede zwischen den verschiedenen Samba-4-Versionen

29

3.2 Die verschiedenen Installationsarten

34

3.2.1 Installation eines Domaincontrollers aus den Distributionspaketen

34

3.2.2 Installation eines Fileservers aus den Distributionspaketen

35

3.2.3 Installation aus den Quellen

35

3.2.4 Installation der SerNet-Pakete

35

3.2.5 Installation der Pakete von Louis van Belle

36

3.3 Installationen unter den verschiedenen Distributionen

36

3.3.1 Debian 10

37

3.3.2 Ubuntu 20.04

39

3.3.3 CentOS 7

40

3.3.4 Suse Leap 15.x

41

3.3.5 Installation der SerNet-Pakete

41

3.3.6 Installation der Pakete von Louis van Belle

44

4 Einrichten des ersten Domaincontrollers

47

4.1 Allgemeines zum Einrichten des Domaincontrollers

47

4.1.1 Neues Datenbankformat

49

4.1.2 Vorbereitungen für den ersten Domaincontroller

50

4.2 Konfiguration des ersten Domaincontrollers

51

4.2.1 Teil 1 mit dem internen DNS-Server (interaktiv)

52

4.2.2 Teil 1 mit dem internen DNS-Server (über Parameter)

54

4.2.3 Nach dem Provisioning mit dem internen DNS

55

4.3 Konfiguration des ersten Domaincontrollers (DC Teil 2)

55

4.3.1 Anpassung des Systemd

59

4.4 Testen des Domaincontrollers

61

4.4.1 Testen der Prozesse

61

4.4.2 Testen der Serverports

62

4.4.3 Testen des DNS-Servers

63

4.4.4 Testen des Verbindungsaufbaus

64

4.4.5 Testen des Kerberos-Servers

64

4.4.6 Testen des LDAP-Servers

66

4.5 Konfiguration des Zeitservers

67

4.6 Zertifikate ändern

68

4.6.1 Erstellen selbst signierter Zertifikate

69

4.6.2 Umstellung auf das eigene Zertifikat

75

5 Die Benutzerverwaltung

77

5.1 Benutzer- und Gruppenverwaltung über die Kommandozeile

78

5.1.1 Verwaltung von Gruppen über die Kommandozeile

79

5.1.2 Verwaltung von Benutzern über die Kommandozeile

85

5.1.3 Ändern und Suchen von Benutzern mit den ldb-tools

91

5.2 Die Remote Server Administration Tools (RSAT)

95

5.2.1 Einrichtung RSAT bis einschließlich Version 1803

96

5.2.2 Einrichtung RSAT ab Version 1809

98

5.3 Benutzer- und Gruppenverwaltung mit dem LAM

100

5.3.1 Installation des LAM

100

5.3.2 Konfiguration des LAM

102

5.3.3 Arbeiten mit dem LAM

107

6 Gruppenrichtlinien

109

6.1 Gruppenrichtlinien – Grundlagen

109

6.2 Verwaltung der GPOs mit den RSAT

111

6.2.1 Erste Schritte mit dem Gruppenrichtlinieneditor

111

6.2.2 Erstellen einer Gruppenrichtlinie

113

6.2.3 Verknüpfung der Gruppenrichtlinie mit einer OU

115

6.2.4 Verschieben der Benutzer und Gruppen

119

6.3 GPOs über die Kommandozeile

120

6.3.1 Reparieren der ACLs von Gruppenrichtlinien

122

6.3.2 Sichern der GPOs

123

6.3.3 Prüfen der Gruppenrichtlinienreplikation

125

7 Verwaltung von Domaincontrollern

129

7.1 Installation des neuen DCs

129

7.1.1 Konfiguration des DNS-Servers

130

7.2 Konfiguration des zweiten DCs

135

7.2.1 Testen des neuen Domaincontrollers

140

7.2.2 Neue Zertifikate

144

7.3 Replikation der Freigabe sysvol

145

7.3.1 Testen der FSMO-Rolle

146

7.3.2 Einrichten von rsync auf dem PDC-Master

146

7.3.3 Konfiguration aller anderen DCs

148

7.3.4 Einrichtung eines Cron-Jobs

150

7.3.5 Anpassen der smb.conf auf den Client-DCs

150

7.4 Die FSMO-Rollen

151

7.4.1 Verwaltung der FSMO-Rollen mit samba-tool

153

7.4.2 Auflisten aller Rollen

153

7.4.3 Transferieren der FSMO-Rollen

154

7.5 Entfernen eines aktiven Domaincontrollers

156

7.6 Entfernen eines ausgefallenen Domaincontrollers

157

7.7 Standorte und Subnetze

160

7.8 Der read-only Domaincontroller

164

7.8.1 Installation des RODC

165

7.8.2 Verwalten der Benutzer auf einem RODC

168

8 Ausfallsicherer DHCP-Server

171

8.1 Der erste DHCP-Server

171

8.1.1 Vorbereitungen für den ersten DHCP-Server

171

8.1.2 Konfiguration des ersten DHCP-Servers

181

8.1.3 Konfiguration des zweiten DHCP-Servers

183

8.1.4 Deaktivierung der automatischen DNS-Einträge

189

9 Zusätzliche Server in der Domäne

193

9.1 Einrichten eines Linux-Fileservers

193

9.2 ID-Mapping

193

9.3 Einrichten des Fileservers

194

9.3.1 Grundkonfiguration des Fileservers

195

9.4 Konfiguration über die Registry

199

9.5 Die Registry-Datenbank

201

9.6 Das Kommando net conf

203

10 Verwaltung von Freigaben

209

10.1 Freigabenverwaltung über die Datei smb.conf

209

10.2 Verwaltung der Freigaben über die Registry

212

10.2.1 Erstellen einer Freigabe in der Registry

213

10.2.2 Zugriff auf eine Freigabe aus der Registry

215

10.2.3 Erweitern einer Freigabe in der Registry

217

10.2.4 Sichern der Freigabeeinstellungen aus der Registry

218

10.2.5 Löschen einer Freigabe aus der Registry

219

10.2.6 Wiederherstellen von Freigaben in der Registry

219

10.3 Die Freigabe der Heimatverzeichnisse

219

10.3.1 Einrichtung der Freigabe für servergespeicherte Profile

223

10.4 Allgemeine Freigaben

225

10.4.1 Administrative Freigaben

226

10.4.2 Erstellen einer Freigabe unter Windows

226

10.4.3 Eine Freigabe mit hide unreadable

234

10.4.4 Eine Freigabe mit Netzwerkpapierkorb

236

10.5 Zuweisung der Freigaben über Gruppenrichtlinien

237

10.5.1 Anlegen der Gruppenrichtlinie

238

10.5.2 Testen auf der Konsole

245

10.6 GPO für Profile und Ordnerumleitung

248

10.6.1 Basisordner über GPO anlegen und zuweisen

248

10.6.2 Servergespeicherte Profil über GPO einrichten

251

10.6.3 Die Ordnerumleitung über GPOs

253

10.6.4 Größe des Profils über eine GPO beschränken

257

10.7 Weitere Freigabemöglichkeiten

258

10.7.1 Schreibgeschützt während einer bestimmten Zeit

258

10.7.2 Das VFS-Modul WORM

259

10.8 Samba und das Distributed File System (DFS)

260

10.8.1 Grundlagen DFS

260

10.8.2 Samba4 als DFS-Proxy

260

10.8.3 Einrichtung einer DFS-Freigabe mit DFS-Link

261

11 Das Dateisystem

265

11.1 Dateisystemberechtigungen

265

11.1.1 Vererbung der Rechte

265

11.1.2 Aufhebung der Vererbung

268

11.1.3 Ändern des Besitzers

272

11.2 Dateisystemquotas

274

11.2.1 Installation und Aktivierung der Quotas

275

11.2.2 Quota-Einträge verwalten

276

12 Verwaltung von Clients in der Domäne

281

12.1 Hinzufügen eines Windows-Clients in die Domäne

281

12.2 Hinzufügen eines Linux-Clients zur Domäne

282

12.2.1 Installation und Konfiguration

283

12.2.2 Konfiguration des winbind

284

12.3 Zugriff von Linux-Clients auf Samba-Freigaben

289

12.3.1 Anmeldung mit grafischer Oberfläche

292

12.3.2 Caching der Anmeldeinformationen

293

12.4 Linux-Clients und Gruppenrichtlinie

293

12.4.1 Installation der ADMX-Dateien

294

12.4.2 Anlegen einer Linux-GPO

295

12.5 Der macOS-Client

301

12.5.1 Grundlegendes für macOS-clients

303

12.5.2 Die erste Freigabe für macOS-Clients

305

13 Cluster mit CTDB

307

13.1 Vorbereiten der Systeme

307

13.2 GlusterFS

308

13.2.1 Clients und Protokolle

309

13.2.2 Die verschiedenen Modi

310

13.2.3 Installation der Gluster-Pakete

311

13.2.4 Konfiguration der Knoten

312

13.2.5 Einrichten der Bricks

315

13.2.6 Einrichtung des Volumes

316

13.2.7 Verwenden des Volumes

318

13.2.8 Das Quorum

321

13.2.9 Einrichten des Client-Quorums

323

13.2.10 Austausch eines Knotens

324

13.2.11 Ersetzen eines ausgefallenen Bricks

327

13.2.12 Erweitern des Volumes

329

13.2.13 Gluster-Snapshots

331

13.3 CTDB

337

13.3.1 Installation der Software

337

13.3.2 Installation des Kerberos-Clients

338

13.3.3 Einträge im DNS-Server erstellen

338

13.3.4 Konfiguration von CTDB

339

13.3.5 Erstellen der Konfiguration für Samba

343

13.3.6 Starten und Testen des CTDB-Cluster

345

13.3.7 Das Kommando onnode

346

13.3.8 Benutzer und Freigaben

349

14 Schemaerweiterung

359

14.1 Vorbereitung der Installation

359

14.2 Zusätzliche Attribute erstellen

360

15 Sicherung der Datenbanken

365

15.1 Sicherung der Datenbanken

365

15.1.1 Möglichkeiten zur Sicherung der Datenbanken

366

15.1.2 Wiederherstellung der Domäne aus dem Backup

369

16 Vertrauensstellungen

371

16.1 Vertrauensstellung zwischen zwei Forests

372

16.1.1 Die Einrichtung der Domänen

372

16.2 Einrichten eines DNS-Proxys

373

16.2.1 Installation und Konfiguration

373

16.2.2 Umstellung an den Domaincontrollern

375

16.3 Einrichten der Vertrauensstellungen

377

16.4 Der Windows-Client

383

16.5 Der Linux-Client

384

16.6 Verwaltung von Namespaces

388

16.7 Einrichtung von Namespaces

388

17 Samba 4 über die Kommandozeile verwalten

393

17.1 Das Kommando samba-tool

394

17.1.1 samba-tool computer

394

17.1.2 samba-tool contact

394

17.1.3 samba-tool dbcheck

394

17.1.4 samba-tool drs

396

17.1.5 samba-tool dsacl

400

17.1.6 samba-tool fsmo

400

17.1.7 samba-tool gpo

400

17.1.8 samba-tool group

402

17.1.9 samba-tool ldapcmp

402

17.1.10 samba-tool ntacl

403

17.1.11 samba-tool sites

404

17.1.12 samba-tool user

404

17.1.13 Zusammenfassung

404

17.2 Das Kommando net

405

17.2.1 net rpc

405

17.2.2 net ads

405

17.2.3 net status

407

17.2.4 Zusammenfassung

407

17.3 Die smb-Kommandos

407

17.3.1 smbclient

407

17.3.2 smbstatus

411

17.3.3 Zusammenfassung

412

17.4 Skripte

412

17.4.1 Anlegen von Benutzern

412

17.4.2 Ändern von Benutzern

415

17.4.3 Entfernen von gelöschten Objekten

419

17.5 Fazit zur Kommandozeile

422

18 Die Migration einer bestehenden Domäne

423

18.1 Migration von Samba

423

18.1.1 Migration einer tdb-Backend-Domäne

424

18.1.2 Migration der Benutzer und Gruppen aus einem OpenLDAP

430

18.2 Migration eines Windows-Servers

434

18.2.1 DNS-Einträge erstellen und prüfen

435

18.2.2 Global Catalog umziehen

435

18.2.3 Übertragung der FSMO-Rollen

436

18.2.4 Prüfen der Gruppenrichtlinien

438

19 Samba 4 als Printserver

439

19.1 Vorbereitungen

440

19.1.1 Privilegien für die Druckerverwaltung

440

19.2 Vorbereitungen des CUPS-Drucksystems

441

19.3 Einrichten der Freigaben

443

19.3.1 Einrichten eines Druckers mit CUPS

445

19.4 Hochladen der Druckertreiber

449

19.5 Zuordnung des Druckertreibers

450

19.6 Verbinden mit dem Drucker

453

19.7 Gruppenrichtlinien für Drucker

454

19.7.1 Gruppenrichtlinien für unsignierte Druckertreiber

454

19.7.2 Gruppenrichtlinie für die Druckerzuweisung

455

20 WINS und Samba 4

459

20.1 Einrichten des Knotentyps

460

20.2 Konfiguration des WINS-Servers

462

20.3 Einrichten der Replikation

462

20.4 Backup und Recovery der WINS-Daten

463

20.5 Testen der WINS-Server

464

21 Virenscanner auf dem Fileserver

467

21.0.1 Einrichten von ClamAV

467

21.0.2 EICAR-Testsignatur

469

21.0.3 Einrichten des clamd

471

21.1 Samba und Virusfilter

471

22 Nutzung des Kerberos-Servers

473

22.1 Einrichtung des ssh-Servers

473

22.2 Einrichten des Clients

474

22.3 Einrichtung für den Apache-Webserver

475

23 Firewall und Sicherheit

477

23.1 Firewall

477

23.1.1 Ports auf einem Domaincontroller

477

23.1.2 Ports auf einem Fileserver

478

23.2 Sicherheit

481

23.2.1 Absichern des Betriebssystems

481

23.2.2 Absichern des Samba-Dienstes

482

24 Hilfe zur Fehlersuche

485

24.1 Installations- und Konfigurationsfehler

486

24.1.1 Der erste Domaincontroller

486

24.1.2 Der zweite Domaincontroller

489

24.1.3 Replikation der sysvol-Freigabe

491

24.1.4 Der Fileserver

493

24.2 Fehler im laufenden Betrieb

497

24.2.1 Fehler bei der Replikation

497

24.2.2 Berechtigungsprobleme bei den ACLs

498

24.2.3 Ungleiche Zeit auf den Domaincontrollern

499

24.3 Logfile-Analyse

500

24.3.1 Logfile-Analyse auf dem Domaincontroller

501

24.3.2 Logfile-Analyse auf dem Fileserver

502

25 Einrichtung mit Ansible

507

25.1 Vorüberlegungen

507

25.1.1 Die Umgebung

508

25.1.2 Das Inventory

509

25.2 Der erste Domaincontroller

510

25.2.1 Variablen für die Domaincontroller

510

25.2.2 Die Tasks

512

25.3 Fileserver einrichten mit Ansible

514

25.3.1 Nach Installation aller Server

515

26 Jetzt alles zusammen

517

26.1 Das Unternehmen

517

26.2 Planung des Active Directorys

519

26.3 Installation des ersten Domaincontrollers

520

26.4 Einrichtung des Zeitservers

521

26.5 Installation des zweiten Domaincontrollers

522

26.5.1 Replikation der Freigabe sysvol

523

26.6 Konfiguration von GlusterFS

526

26.7 Konfiguration von CTDB

529

26.8 Konfiguration von Samba

531

26.9 Einrichten der administrativen Freigaben

533

26.10 Einrichten des Druckservers

535

26.11 Nachwort zum Workshop

537

Stichwortverzeichnis

539

 

© 2009-2022 ciando GmbH