Windows-Zugriff auf Linux-Ressourcen

Die Samba-Suite stellt nicht nur Datei- und Druckdienste zur Verfügung, sondern unterstützt auch die Identity-Informationen eines Active Directory zur Anmeldung an einem Linux-System, um so Zugriff auf Ressourcen innerhalb dieser Umgebung zu gestatten [1]. Ist ein Samba-Server Mitglied einer AD-Domäne, sind in diesem Fall zwei Services von besonderem Interesse. Der "smbd"-Service ist der Hauptprozess, der für die Verwaltung der Verbindungen zu einem Domainencontroller zuständig ist. Jede Verbindung wird dabei durch einen eigenen smbd-Child-Prozess verwaltet. Daneben steht mit "winbindd" ein weiterer wichtiger Samba-Service zur Verfügung. Dieser kümmert sich primär um die Auflösung von Identity-Informationen für alle bekannten und konfigurierten Domänen der Windows-Umgebung. Hierfür greift der Dienst unter anderem auf die Local-Security-Authority (LSA) und die NETLOGON-Services eines Domainencontrollers zurück. Ähnlich wie auch der smb-Service verwaltet der Winbind-Service jede Domäne über einen eigenen Child-Prozess.

IDMAP mit Winbind

Beide Services sind modular aufgebaut und greifen für gewisse Funktionen auf die hierfür zuständigen Module zurück. Im Falle von Winbind gibt es verschiedene IDMAP-Module, um eine Übersetzung eines Windows Security Identifiers (SID) in eine POSIX Benutzer- beziehungsweise Gruppen-ID (UID/GID) durchzuführen. Der Namensraum von Windows-SIDs ist dabei größer als der von POSIX-IDs, da SIDs sowohl Benutzer als auch Gruppen repräsentieren. Die letzten 32 Bit werden dabei als "Relative Identifier" (RID) bezeichnet und repräsentieren Objekte eindeutig innerhalb einer Domäne. Die Aufgabe von Samba und Winbind im Speziellen ist es nun, diese 32 Bit einer Windows-SID in eine POSIX-UID beziehungsweise -GID umzuwandeln. Je nach Anforderung können hierfür unterschiedliche IDMAP-Module zum Einsatz kommen. Ein bekanntes

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.