Stefan Kania
Samba 4
Das Handbuch für Administratoren
Inhalt
7
Vorwort
17
1 Einleitung
21
1.1 Formales
21
1.1.1 Kommandozeile vs. grafische Administration
21
1.2 Schriftarten
22
1.2.1 Eingabe langer Befehle
22
1.2.2 Screenshots
22
1.2.3 Internetverweise
22
1.2.4 Icons
23
1.3 Linux-Distributionen
23
2 Grundlagen
25
2.1 Das Protokoll SMB
25
2.1.1 Was hat sich bei Samba getan?
26
2.2 Das Protokoll NetBIOS
27
3 Installation von Samba
29
3.1 Unterschiede zwischen den verschiedenen Samba-4-Versionen
29
3.2 Die verschiedenen Installationsarten
34
3.2.1 Installation eines Domaincontrollers aus den Distributionspaketen
34
3.2.2 Installation eines Fileservers aus den Distributionspaketen
35
3.2.3 Installation aus den Quellen
35
3.2.4 Installation der SerNet-Pakete
35
3.2.5 Installation der Pakete von Louis van Belle
36
3.3 Installationen unter den verschiedenen Distributionen
36
3.3.1 Debian 10
37
3.3.2 Ubuntu 20.04
39
3.3.3 CentOS 7
40
3.3.4 Suse Leap 15.x
41
3.3.5 Installation der SerNet-Pakete
41
3.3.6 Installation der Pakete von Louis van Belle
44
4 Einrichten des ersten Domaincontrollers
47
4.1 Allgemeines zum Einrichten des Domaincontrollers
47
4.1.1 Neues Datenbankformat
49
4.1.2 Vorbereitungen für den ersten Domaincontroller
50
4.2 Konfiguration des ersten Domaincontrollers
51
4.2.1 Teil 1 mit dem internen DNS-Server (interaktiv)
52
4.2.2 Teil 1 mit dem internen DNS-Server (über Parameter)
54
4.2.3 Nach dem Provisioning mit dem internen DNS
55
4.3 Konfiguration des ersten Domaincontrollers (DC Teil 2)
55
4.3.1 Anpassung des Systemd
59
4.4 Testen des Domaincontrollers
61
4.4.1 Testen der Prozesse
61
4.4.2 Testen der Serverports
62
4.4.3 Testen des DNS-Servers
63
4.4.4 Testen des Verbindungsaufbaus
64
4.4.5 Testen des Kerberos-Servers
64
4.4.6 Testen des LDAP-Servers
66
4.5 Konfiguration des Zeitservers
67
4.6 Zertifikate ändern
68
4.6.1 Erstellen selbst signierter Zertifikate
69
4.6.2 Umstellung auf das eigene Zertifikat
75
5 Die Benutzerverwaltung
77
5.1 Benutzer- und Gruppenverwaltung über die Kommandozeile
78
5.1.1 Verwaltung von Gruppen über die Kommandozeile
79
5.1.2 Verwaltung von Benutzern über die Kommandozeile
85
5.1.3 Ändern und Suchen von Benutzern mit den ldb-tools
91
5.2 Die Remote Server Administration Tools (RSAT)
95
5.2.1 Einrichtung RSAT bis einschließlich Version 1803
96
5.2.2 Einrichtung RSAT ab Version 1809
98
5.3 Benutzer- und Gruppenverwaltung mit dem LAM
100
5.3.1 Installation des LAM
100
5.3.2 Konfiguration des LAM
102
5.3.3 Arbeiten mit dem LAM
107
6 Gruppenrichtlinien
109
6.1 Gruppenrichtlinien – Grundlagen
109
6.2 Verwaltung der GPOs mit den RSAT
111
6.2.1 Erste Schritte mit dem Gruppenrichtlinieneditor
111
6.2.2 Erstellen einer Gruppenrichtlinie
113
6.2.3 Verknüpfung der Gruppenrichtlinie mit einer OU
115
6.2.4 Verschieben der Benutzer und Gruppen
119
6.3 GPOs über die Kommandozeile
120
6.3.1 Reparieren der ACLs von Gruppenrichtlinien
122
6.3.2 Sichern der GPOs
123
6.3.3 Prüfen der Gruppenrichtlinienreplikation
125
7 Verwaltung von Domaincontrollern
129
7.1 Installation des neuen DCs
129
7.1.1 Konfiguration des DNS-Servers
130
7.2 Konfiguration des zweiten DCs
135
7.2.1 Testen des neuen Domaincontrollers
140
7.2.2 Neue Zertifikate
144
7.3 Replikation der Freigabe sysvol
145
7.3.1 Testen der FSMO-Rolle
146
7.3.2 Einrichten von rsync auf dem PDC-Master
146
7.3.3 Konfiguration aller anderen DCs
148
7.3.4 Einrichtung eines Cron-Jobs
150
7.3.5 Anpassen der smb.conf auf den Client-DCs
150
7.4 Die FSMO-Rollen
151
7.4.1 Verwaltung der FSMO-Rollen mit samba-tool
153
7.4.2 Auflisten aller Rollen
153
7.4.3 Transferieren der FSMO-Rollen
154
7.5 Entfernen eines aktiven Domaincontrollers
156
7.6 Entfernen eines ausgefallenen Domaincontrollers
157
7.7 Standorte und Subnetze
160
7.8 Der read-only Domaincontroller
164
7.8.1 Installation des RODC
165
7.8.2 Verwalten der Benutzer auf einem RODC
168
8 Ausfallsicherer DHCP-Server
171
8.1 Der erste DHCP-Server
171
8.1.1 Vorbereitungen für den ersten DHCP-Server
171
8.1.2 Konfiguration des ersten DHCP-Servers
181
8.1.3 Konfiguration des zweiten DHCP-Servers
183
8.1.4 Deaktivierung der automatischen DNS-Einträge
189
9 Zusätzliche Server in der Domäne
193
9.1 Einrichten eines Linux-Fileservers
193
9.2 ID-Mapping
193
9.3 Einrichten des Fileservers
194
9.3.1 Grundkonfiguration des Fileservers
195
9.4 Konfiguration über die Registry
199
9.5 Die Registry-Datenbank
201
9.6 Das Kommando net conf
203
10 Verwaltung von Freigaben
209
10.1 Freigabenverwaltung über die Datei smb.conf
209
10.2 Verwaltung der Freigaben über die Registry
212
10.2.1 Erstellen einer Freigabe in der Registry
213
10.2.2 Zugriff auf eine Freigabe aus der Registry
215
10.2.3 Erweitern einer Freigabe in der Registry
217
10.2.4 Sichern der Freigabeeinstellungen aus der Registry
218
10.2.5 Löschen einer Freigabe aus der Registry
219
10.2.6 Wiederherstellen von Freigaben in der Registry
219
10.3 Die Freigabe der Heimatverzeichnisse
219
10.3.1 Einrichtung der Freigabe für servergespeicherte Profile
223
10.4 Allgemeine Freigaben
225
10.4.1 Administrative Freigaben
226
10.4.2 Erstellen einer Freigabe unter Windows
226
10.4.3 Eine Freigabe mit hide unreadable
234
10.4.4 Eine Freigabe mit Netzwerkpapierkorb
236
10.5 Zuweisung der Freigaben über Gruppenrichtlinien
237
10.5.1 Anlegen der Gruppenrichtlinie
238
10.5.2 Testen auf der Konsole
245
10.6 GPO für Profile und Ordnerumleitung
248
10.6.1 Basisordner über GPO anlegen und zuweisen
248
10.6.2 Servergespeicherte Profil über GPO einrichten
251
10.6.3 Die Ordnerumleitung über GPOs
253
10.6.4 Größe des Profils über eine GPO beschränken
257
10.7 Weitere Freigabemöglichkeiten
258
10.7.1 Schreibgeschützt während einer bestimmten Zeit
258
10.7.2 Das VFS-Modul WORM
259
10.8 Samba und das Distributed File System (DFS)
260
10.8.1 Grundlagen DFS
260
10.8.2 Samba4 als DFS-Proxy
260
10.8.3 Einrichtung einer DFS-Freigabe mit DFS-Link
261
11 Das Dateisystem
265
11.1 Dateisystemberechtigungen
265
11.1.1 Vererbung der Rechte
265
11.1.2 Aufhebung der Vererbung
268
11.1.3 Ändern des Besitzers
272
11.2 Dateisystemquotas
274
11.2.1 Installation und Aktivierung der Quotas
275
11.2.2 Quota-Einträge verwalten
276
12 Verwaltung von Clients in der Domäne
281
12.1 Hinzufügen eines Windows-Clients in die Domäne
281
12.2 Hinzufügen eines Linux-Clients zur Domäne
282
12.2.1 Installation und Konfiguration
283
12.2.2 Konfiguration des winbind
284
12.3 Zugriff von Linux-Clients auf Samba-Freigaben
289
12.3.1 Anmeldung mit grafischer Oberfläche
292
12.3.2 Caching der Anmeldeinformationen
293
12.4 Linux-Clients und Gruppenrichtlinie
293
12.4.1 Installation der ADMX-Dateien
294
12.4.2 Anlegen einer Linux-GPO
295
12.5 Der macOS-Client
301
12.5.1 Grundlegendes für macOS-clients
303
12.5.2 Die erste Freigabe für macOS-Clients
305
13 Cluster mit CTDB
307
13.1 Vorbereiten der Systeme
307
13.2 GlusterFS
308
13.2.1 Clients und Protokolle
309
13.2.2 Die verschiedenen Modi
310
13.2.3 Installation der Gluster-Pakete
311
13.2.4 Konfiguration der Knoten
312
13.2.5 Einrichten der Bricks
315
13.2.6 Einrichtung des Volumes
316
13.2.7 Verwenden des Volumes
318
13.2.8 Das Quorum
321
13.2.9 Einrichten des Client-Quorums
323
13.2.10 Austausch eines Knotens
324
13.2.11 Ersetzen eines ausgefallenen Bricks
327
13.2.12 Erweitern des Volumes
329
13.2.13 Gluster-Snapshots
331
13.3 CTDB
337
13.3.1 Installation der Software
337
13.3.2 Installation des Kerberos-Clients
338
13.3.3 Einträge im DNS-Server erstellen
338
13.3.4 Konfiguration von CTDB
339
13.3.5 Erstellen der Konfiguration für Samba
343
13.3.6 Starten und Testen des CTDB-Cluster
345
13.3.7 Das Kommando onnode
346
13.3.8 Benutzer und Freigaben
349
14 Schemaerweiterung
359
14.1 Vorbereitung der Installation
359
14.2 Zusätzliche Attribute erstellen
360
15 Sicherung der Datenbanken
365
15.1 Sicherung der Datenbanken
365
15.1.1 Möglichkeiten zur Sicherung der Datenbanken
366
15.1.2 Wiederherstellung der Domäne aus dem Backup
369
16 Vertrauensstellungen
371
16.1 Vertrauensstellung zwischen zwei Forests
372
16.1.1 Die Einrichtung der Domänen
372
16.2 Einrichten eines DNS-Proxys
373
16.2.1 Installation und Konfiguration
373
16.2.2 Umstellung an den Domaincontrollern
375
16.3 Einrichten der Vertrauensstellungen
377
16.4 Der Windows-Client
383
16.5 Der Linux-Client
384
16.6 Verwaltung von Namespaces
388
16.7 Einrichtung von Namespaces
388
17 Samba 4 über die Kommandozeile verwalten
393
17.1 Das Kommando samba-tool
394
17.1.1 samba-tool computer
394
17.1.2 samba-tool contact
394
17.1.3 samba-tool dbcheck
394
17.1.4 samba-tool drs
396
17.1.5 samba-tool dsacl
400
17.1.6 samba-tool fsmo
400
17.1.7 samba-tool gpo
400
17.1.8 samba-tool group
402
17.1.9 samba-tool ldapcmp
402
17.1.10 samba-tool ntacl
403
17.1.11 samba-tool sites
404
17.1.12 samba-tool user
404
17.1.13 Zusammenfassung
404
17.2 Das Kommando net
405
17.2.1 net rpc
405
17.2.2 net ads
405
17.2.3 net status
407
17.2.4 Zusammenfassung
407
17.3 Die smb-Kommandos
407
17.3.1 smbclient
407
17.3.2 smbstatus
411
17.3.3 Zusammenfassung
412
17.4 Skripte
412
17.4.1 Anlegen von Benutzern
412
17.4.2 Ändern von Benutzern
415
17.4.3 Entfernen von gelöschten Objekten
419
17.5 Fazit zur Kommandozeile
422
18 Die Migration einer bestehenden Domäne
423
18.1 Migration von Samba
423
18.1.1 Migration einer tdb-Backend-Domäne
424
18.1.2 Migration der Benutzer und Gruppen aus einem OpenLDAP
430
18.2 Migration eines Windows-Servers
434
18.2.1 DNS-Einträge erstellen und prüfen
435
18.2.2 Global Catalog umziehen
435
18.2.3 Übertragung der FSMO-Rollen
436
18.2.4 Prüfen der Gruppenrichtlinien
438
19 Samba 4 als Printserver
439
19.1 Vorbereitungen
440
19.1.1 Privilegien für die Druckerverwaltung
440
19.2 Vorbereitungen des CUPS-Drucksystems
441
19.3 Einrichten der Freigaben
443
19.3.1 Einrichten eines Druckers mit CUPS
445
19.4 Hochladen der Druckertreiber
449
19.5 Zuordnung des Druckertreibers
450
19.6 Verbinden mit dem Drucker
453
19.7 Gruppenrichtlinien für Drucker
454
19.7.1 Gruppenrichtlinien für unsignierte Druckertreiber
454
19.7.2 Gruppenrichtlinie für die Druckerzuweisung
455
20 WINS und Samba 4
459
20.1 Einrichten des Knotentyps
460
20.2 Konfiguration des WINS-Servers
462
20.3 Einrichten der Replikation
462
20.4 Backup und Recovery der WINS-Daten
463
20.5 Testen der WINS-Server
464
21 Virenscanner auf dem Fileserver
467
21.0.1 Einrichten von ClamAV
467
21.0.2 EICAR-Testsignatur
469
21.0.3 Einrichten des clamd
471
21.1 Samba und Virusfilter
471
22 Nutzung des Kerberos-Servers
473
22.1 Einrichtung des ssh-Servers
473
22.2 Einrichten des Clients
474
22.3 Einrichtung für den Apache-Webserver
475
23 Firewall und Sicherheit
477
23.1 Firewall
477
23.1.1 Ports auf einem Domaincontroller
477
23.1.2 Ports auf einem Fileserver
478
23.2 Sicherheit
481
23.2.1 Absichern des Betriebssystems
481
23.2.2 Absichern des Samba-Dienstes
482
24 Hilfe zur Fehlersuche
485
24.1 Installations- und Konfigurationsfehler
486
24.1.1 Der erste Domaincontroller
486
24.1.2 Der zweite Domaincontroller
489
24.1.3 Replikation der sysvol-Freigabe
491
24.1.4 Der Fileserver
493
24.2 Fehler im laufenden Betrieb
497
24.2.1 Fehler bei der Replikation
497
24.2.2 Berechtigungsprobleme bei den ACLs
498
24.2.3 Ungleiche Zeit auf den Domaincontrollern
499
24.3 Logfile-Analyse
500
24.3.1 Logfile-Analyse auf dem Domaincontroller
501
24.3.2 Logfile-Analyse auf dem Fileserver
502
25 Einrichtung mit Ansible
507
25.1 Vorüberlegungen
507
25.1.1 Die Umgebung
508
25.1.2 Das Inventory
509
25.2 Der erste Domaincontroller
510
25.2.1 Variablen für die Domaincontroller
510
25.2.2 Die Tasks
512
25.3 Fileserver einrichten mit Ansible
514
25.3.1 Nach Installation aller Server
515
26 Jetzt alles zusammen
517
26.1 Das Unternehmen
517
26.2 Planung des Active Directorys
519
26.3 Installation des ersten Domaincontrollers
520
26.4 Einrichtung des Zeitservers
521
26.5 Installation des zweiten Domaincontrollers
522
26.5.1 Replikation der Freigabe sysvol
523
26.6 Konfiguration von GlusterFS
526
26.7 Konfiguration von CTDB
529
26.8 Konfiguration von Samba
531
26.9 Einrichten der administrativen Freigaben
533
26.10 Einrichten des Druckservers
535
26.11 Nachwort zum Workshop
537
Stichwortverzeichnis
539
© 2009-2024 ciando GmbH