« Zurück 1 2 3 4 5 6 Weiter »

Aus ADMIN 02/2013
Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

Servergespeicherte Profile

Neben der zentralen Verwaltung der Home-Verzeichnisse ist die Verwaltung der servergespeicherten Profile ein weiterer wichtiger Punkt bei der Benutzerverwaltung. Damit die Profile der Benutzer zentral verwaltet werden können, muss als Erstes geprüft werden, ob das Dateisystem, auf dem sich die Profile befinden, Access Control Lists (ACLs) unterstützt. Ohne ACLs funktionieren die servergespeicherten Profile nicht. Bei Suse sind bei allen Dateisystemen, die die Installation anlegt, die ACLs schon aktiviert. Bei Debian und Ubuntu muss der Parameter nachträglich in der Datei »fstab« eingestellt werden. Dazu wird die Datei »/etc/fstab« wie im folgenden Beispiel angepasst:

UUID=ea1552d5-9756-4b13-9b1d-7e197e16e4b8/ ext3 errors=remount-ro,acl 0 1

Anschließend wird das Dateisystem neu gemoutet. Das geschieht mit dem Kommando »root@samba:~# mount -o remount,rw /« . Anschließend sollten die aktivierten ACLs nach der Eingabe von »mount« zu sehen sein.

Es ist sinnvoll, alle Dateisysteme, auf die von Windows aus zugegriffen werden soll, mit der Option »acl« zu mounten, denn dann lassen sich später in der Domäne über den Explorer eines Windows-Clients die Dateisystemrechte ändern.

Legt man das Verzeichnis für die Profilfreigabe an, ist darauf zu achten, dass die Rechte so gesetzt sind, dass »others« alle Rechte hat. Sonst kann das Verzeichnis für das Profil nicht angelegt werden, wenn der Benutzer sich das erste Mal anmeldet. Jetzt braucht es noch eine Freigabe für die Profile und die Anpassung der Benutzer. Der folgende Konfigurationsausschnitt zeigt den Eintrag für die Freigabe in der Datei »smb.conf« :

[profile]
  comment = Profil-Dir der Benutzer
  path = /profile
  browsable = no
  read only = no
  profile acls = yes

Wichtig bei dieser Freigabe ist der Parameter »profile acls = yes« , denn Windows muss beim Anlegen des Profilverzeichnis bestimmte ACL setzen, um den exklusiven Zugriff auf das Profil steuern zu können. Passt man jetzt noch mit dem Kommando »pdbedit -p '\\admin-magazin\profile\Benutzer' Benutzer« den Eintrag in der Datenbank an, können die Benutzer ihre Profile zentral speichern. Neue Benutzer erhalten mit den Parameter »-p« das richtige Profilverzeichnis.

Wie auch unter Windows ist es in einer Samba-Domäne möglich, Kontenrichtlinen zu setzen, um die Passwortsicherheit zu erhöhen. Die Richtlinen werden hier wieder mit dem Kommando »pdbedit« geändert ( Listing 10 zeigt die Änderung der Werte).

Listing 10

Kontenrichtlinien

 

Selbstverständlich lassen sich in einer Samba-Domäne auch Logon-Skripte verwenden. Dazu erzeugt man, wie unter Windows üblich, eine Batchdatei mit den entsprechenden Befehlen. Es empfiehlt sich die Batchdatei unter Windows anzulegen, so geht man sicher, dass sie die passende Zeilenende-Kodierung hat. Anschließend muss man eine Freigabe wie in Listing 11 erstellen und die Batchdatei in die Freigabe kopieren.

Listing 11

Netlogon-Freigabe

 

Die Freigabe wird nur read-only freigegeben, und nur der Domänenadministrator erhält explizit das Schreibrecht. Wichtig ist nur, dass die Benutzer für das Verzeichnis und die Batchdateien Lese- und Ausführungsrechte haben.

Es gibt zwei Möglichkeiten, das Batchskript den Benutzern zuzuweisen: Im ersten Fall verwendet man für alle Benutzer dasselbe Skript, in dem im »[global]« -Bereich der Parameter »logon script = skriptname.bat« gesetzt ist. Dabei braucht hier nur der Dateiname ohne Pfad angegeben werden, da die Logonskripte relativ zur Freigabe NETLOGON gesucht werden. Die zweite Möglichkeit ist die, jedem Benutzer ein eigenes Logon-Skript zuzuweisen. Das realisiert das Kommando »pdbedit« . Dabei ist aber der komplette Pfad nötig: »pdbedit -S '\\admin-magazin\netlogon\scriptname.bat' Benutzer« .

Konfiguration von Winbind

Bis zu diesem Zeitpunkt ist der PDC alleine in der Domäne, und es gibt keinen weiteren Windows oder Samba-Server. Wenn die Domäne aber später durch einen weiteren Samba- oder Windows-Server erweitert werden soll, oder wenn man die verschachtelten Gruppen aus dem nächsten Abschnitt einsetzen möchte, dann ist der Dienst »winbind« nötig.

Winbind ist ein eigenständiger Dienst, der aber Bestandteil von Samba ist. Sobald »winbind« zum Einsatz kommt, muss der Nameservice Caching Daemon »nscd« auf jeden Fall gestoppt werden, die beiden Dienste vertragen sich nicht! Bei Debian und Ubuntu ist Winbind ein Extra-Paket. Konfiguriert wird er ebenfalls via »smb.conf« . Für die Verwendung von Winbind ist der »[global]« -Bereich wie folgt zu erweitern:

[global]
 winbind separator = +
 idmap uid = 10000-20000
 idmap gid = 10000-20000
 winbind enum users = yes
 winbind enum groups = yes
 winbind use default domain = yes

Die beiden Parameter »idmap uid« und »idmap gid« dienen dazu, die UIDs und GIDs der Windows-Benutzer auf Linux-IDs zu mappen. Durch die beiden Parameter »winbind enum users« und »winbind enum groups« werden die Benutzer und Gruppen dann auch im System mit »getent passwd« und »getent group« sichtbar und können für die Vergabe von Rechten auf dem Linux-System verwendet werden.

« Zurück 1 2 3 4 5 6 Weiter »

Ähnliche Artikel

comments powered by Disqus

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing