Nachdem ich lange nach einem How-to gesucht habe, wie man einen samba3 PDC unter Fedora erstellt und nicht in allen Sachen fündig geworden bin, habe ich mich entschlossen meine Erfahrungen niederzuschreiben und damit anderen das Leben leichter zu machen.
Ziel ist es einen Samba PCD für Windows 2000 und XP Clients zu erstellen.
Es soll ein einfaches System ohne ldap Anbindung oder ähnlichen dingen sein, einfach aus dem Grund, da ich mich selber mit der Materie nicht gut genug auskenne.
Wenn sich jemand damit auskennt, und Lust hat zu helfen kann er gerne mithelfen dieses How-to zu erweitern.
Ziel der ganzen Angelegenheit soll eine kleine Domäne für daheim oder einen kleinen Betrieb sein.
Ausgangslage ist ein Frisch installiertes Fedora Core 3 (FC3)
Als erstes ist es sinnvoll das System auf den neuesten Stand zu bringen:
Als nächstes SWAT installieren, damit ist es möglich die smb.conf über den Browser zu editieren.
PHP-Code:
yum install samba samba-swat
Um SWAT auch nutzen zu können müssen wir noch folgende Änderungen durchführen
PHP-Code:
vi /etc/xinetd.d/swat
Die Zeile
PHP-Code:
only_from = 127.0.0.1
mit einem # auskommentieren oder das entsprechende netz eintragen, in dem man sich befindet. Das ist notwendig, wenn man nicht vom Server selber auf SWAT zugreifen will, wie es der fall ist wenn man alles von extern über ssh macht.
Die Zeile setzt man jetzt noch auch no und schon kann man auf SWAT über http://<Rechnername>:901/ bzw. http://<IP>:901/ zugreifen.
(Das speichern erfolgt bei vi über ESC und dann :wq )
PHP-Code:
service swat
{
port = 901
socket_type = stream
wait = no
# only_from = 127.0.0.1
user = root
server = /usr/sbin/swat
log_on_failure += USERID
disable = no
}
Für alle die das ganze lieber über Editor machen öffnen wir jetzt die smb.conf
vi /etc/samba/smb.conf
PHP-Code:
[global]
workgroup = MITTELERDE # Gibt den späteren Domännamen an
map to guest = Bad User # für den fall eines unbekannten users wird man als gast angemeldet. Nur sinnvoll wenn unbekannte user lesen dürfen
passdb backend = tdbsam # beschreibt die Datei in der die user und Passwörter gespeichert werden sollen, in diesem Fall: /etc/samba/passdb.tdb
log file = /var/log/samba/%m.log #speicherort der logs
max log size = 50 #größe der logs
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
#Die folgenden Scripe sind notwendig damit z.B. über einen usermanager Benutzer, Gruppen oder Rechner angelegt werden können.
add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/usermod -G %g %u
add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null %u
add group script = /etc/samba/smbgrpadd.sh "%g"
# erstellen des Skriptes smbgrpadd.sh
# vi /etc/samba/smbgrpadd.sh
PHP-Code:
#!/bin/bash
# Fügt die Gruppe unter Nutzung des normalen groupadd-Systemwerkzeugs hinzu.
groupadd smbtmpgrp00
thegid=‘cat /etc/group | grep smbtmpgrp00 | cut -d ":" -f3‘
# Jetzt den Namen für unser MS Windows-Netzwerk passend ändern.
cp /etc/group /etc/group.bak
cat /etc/group.bak | sed "s/smbtmpgrp00/$1/g" > /etc/group
# Melde uns die GID zurük.
echo $thegid
exit 0
Speichern das ganze und machen es mit
PHP-Code:
chmod +x /etc/samba/smbgrpadd.sh
ausführbar.
Hinweis, das hinzufügen von Gruppen klappt, nur das löschen der Gruppen scheint nicht vollständig zu klappen. Scheint etwas mit dem groupmap zu tun zu haben.
Die nachfolgenden Funktionen sind dafür notwendig, damit der PCD reibungslos funktioniert.
PHP-Code:
domain logons = Yes
os level = 35
preferred master = Yes
domain master = Yes # Also der server ist der PDC
wins support = Yes
logon drive = U: # das home Verteichnis ist später unter U: erreichbar (im Windows Explorer)
logon script = logon.bat # beschreibt welche Datei beim logon ausgeführt werden soll, im nun folgenden share „netlogon“ wird festgelegt wo die Datei liegt.
[netlogon]
comment = Network Logon Service
path = /home/netlogon/ # erstellen mit mkdir /home/netlogon/
guest ok = Yes
# Die folgende Freigabe gibt die Lage der home-Verzeichnisse an, in diesem fall /home/<username>
[homes]
comment = Home Directories
path = /home/%u
read only = No # schreiben ist erlaubt
browseable = No # der share ist nicht sichtbar
Nachdem die config nun so weit abgeschlossen ist, können wir mit smbpasswd –a erst mal ein passwort für unseren user festlegen
Jetzt können wir mal den samba server starten
PHP-Code:
Service samba start
oder auch [PHP/]/etc/init.d/smb start [/PHP]
Jetzt sollen wir mit \\<rechnername>\ auf den Server zugreifen können und unseren home share sowie den share netlogon sehen.
Als nächstes wollen wir uns mit dem Windows <-> Linux groupmapping beschäftigen:
PHP-Code:
net groupmap list
Sollte ungefähr folgendes ausgeben:
PHP-Code:
System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Power Users (S-1-5-32-547) -> -1
Domain Admins (S-1-5-21-3307365088-3376359931-564955208-512) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Domain Guests (S-1-5-21-3307365088-3376359931-564955208-514) -> -1
Domain Users (S-1-5-21-3307365088-3376359931-564955208-513) -> -1
Account Operators (S-1-5-32-548) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1
Das sind die bekannten Windows Gruppen.
Nun wollen wir diesen Gruppen linux gruppen zuweisen.
Es müssen zumindest die 3 Gruppen „Domain Guests“ „Domain Admins“ und „Domain guests” zugewiesen warden.
Als erstes legen wir erst mal eine gruppe ntadmins an, in der später die Domänen-Administratoren beheimatet sein werden:
PHP-Code:
groupadd ntadmins
Gehen wir weiter davon aus, dass alle normalen User der Gruppe Domain-Users angehören sollen.
Diesen weisen wir die linux gruppe users zu.
Diese Gruppe ist schon vorhanden und muss nicht extra angelegt werden.
Nun weisen wir die gruppen zu:
PHP-Code:
net groupmap modify ntgroup="Domain Users" unixgroup=users
net groupmap modify ntgroup="Domain Admins" unixgroup=ntadmins
net groupmap modify ntgroup="Domain Guests" unixgroup=nobody
Jetzt sieht das ganze so aus:
PHP-Code:
Domain Admins (S-1-5-21-3307365088-3376359931-564955208-512) -> ntadmins
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Domain Guests (S-1-5-21-3307365088-3376359931-564955208-514) -> nobody
Domain Users (S-1-5-21-3307365088-3376359931-564955208-513) -> users
Wenn man will kann man die auch noch weitere Gruppen erstellen, so geschieht das erstellen und zuweisen von Gruppen analog zum oberen Beispiel.
Für zuhause kann es sich als sinnvoll erweisen, der unixgruppe users auch noch die Windows-Gruppe „Power Users“ (Hauptbenutzer) zuzuweisen, da viele Anwendungen doch etwas höhere Rechte verlangen.
Mit
PHP-Code:
usermod -g root -G ntadmins root
fügen wir noch root der gruppe ntadmins hinzu.
Nachdem der Konfikurationsteil teil fürs erste geschafft ist, geht es nun weiter mit dem einfügen eines Rechners in die Domäne.
Dazu geht man auf Systemsteuerung –> System -> Computername -> Ändern
Dann als Domäne unsere Domäne eingeben, in userem Fall „Mittelerde“.
Mit root und dem rootpasswort können wir dann der Domäne betreten.
Nach einem neustart können wir uns dann mit root und dem rootpasswort in der Domäne anmelden.
Nun werden wir feststellen, das 1. wir im Explorer ein Laufwerk U: haben, was unser home Verzeichnis repräsentiert und 2. das unser Desktop profil auf dem Server gespeichert wird.
Wollen wir dass nicht, müssen wir das ganze über die Registrierungsdatenbank machen, da Samba in der Version 3 noch keine Gruppenrichtlinien beherrscht.
Also habe ich mir auf der Seite
http://www.gruppenrichtlinien.de/ind.../Downloads.htm
die Datei windowsxpsp2_poledit.zip heruntergeladen.
Sie enthält die gute alte poledit.exe von Windows NT mit den aktuellen Richtlinien von Windows XPSP2.
Damit kann man alle möglichen Einstellungen festlegen.
Anschließend speichert man die Datei als ntconfig.pol im Verzeichnis netlogon.
Nun muss man dem Client noch sagen, wo er die Datei findet, was man man am einfachsten mit einem reg-Eintrag macht:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Update]
"UpdateMode"=dword:00000001
"NetworkPath"="\\<servername>\netlogon\ntconfig.po l"
Das ganze als .reg speichern und per Doppelklick importieren.
Als nächstes wollen wir uns die logon.bat etwas näher anschauen.
Über sie lassen sich viele Einstellungen beim start übergeben:
use t: \\<rechnername>\team
In diesem Fall verbindet er das Laufwerk t: auf \\<rechnrename>\team
Damit das ganze klappt muss das Verzeichnis auf dem Samba Server auch vorhanden sein, also legen wir es an:
PHP-Code:
mkdir /home/team
Mit
PHP-Code:
chown users /home/team
gehört das Verzeichnis der guppe user, was ja unseren Domain Usern unter Windows entspricht.
Mit
PHP-Code:
chmod 770 /home/team
dürfen der Eigentümer und alle der in der Gruppe user eingetragen user alles machen, der Rest nichts.
Nun müssen wir Samba nur noch sagen wo das Verzeichnis ist, also öffnen wir wieder die smb.conf (oder über Samba)
Und fügen folgendes ein:
PHP-Code:
[team]
comment = Team Verzeichnis # Eine einfacher Kommentar
path = /home/team # gibt den Pfad an
force group = user # Neue dateinen werde immer mit der Gruppe user anglegt.
read only = No # User dürfen auch schreiben
create mask = 0770
force create mode = 0770
Nachdem nun eigentlich alle wichtigen Schritte durchgeführt wurden, können wir jetzt beginnen neue User anzulegen.
Das können wir unter linux mit useradd und dann smbpasswd –a machen, oder wir verweden den NT-Usermanager verwenden wie er z.b. in den Windows Server 2003 Resource Kit Tools http://www.microsoft.com/downloads/d...displaylang=en
Vorhanden ist.
Wir öffnen die datei USRMGR.EXE als root. Wir melden uns als root unter Windows an, oder öffnen wie mit Rechtsklick -> ausführen als: Mittelerde\root und <Passwort>.
Unter Windows 2000 muss zum öffnen zusätzlich die Shift Taste gedrückt werden.
Neue user werden Standardmäßig in die Gruppe Domain Users mit aufgenommen, was der Gruppe users entspricht.
Wenn ich einem User die Gruppe der Administratoren zuweisen, solle man nicht vergessen ihm zusätzlich zur Gruppe User hinzuzufügen, damit er in unserem obigen Beispiel die Dateifrage Team weiterhin lesen und schreiben kann.
Er ist zwar für Windows ein User mit mehr rechten, aber linux lässt ihn auf team nicht zugreifen wenn er nur in der Gruppe ntadmins ist.
Als letztes noch überreden wir Samba das es bei jedem linux start mitstartet:
PHP-Code:
chkconfig smb on
Das war es soweit. Weitere Infos findet man z.b. unter http://gertranssmb3.berlios.de/Samba-HOWTO-Sammlung.pdf
Wer Fehler Findet, Verbesserungen hat oder einfach nur den ein oder anderen Vorschlag hat, soll sich nicht scheuen ihn mit mitzuteilen.
Ich möchte in Zukunft das ganze noch um Ldap erweitern, aber im Moment fehlt mir noch die Zeit und das Wissen das ganze zu bewerkstelligen.
Wer an diesem Punkt weitermachen möchte ist höchst willkommen.
Anhang:
Hier noch mal die Komplette smb.conf
PHP-Code:
[global]
workgroup = MITTELERDE
map to guest = Bad User
passdb backend = tdbsam
log file = /var/log/samba/%m.log
max log size = 50
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u
delete group script = /usr/sbin/groupdel %g
add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null %u
add group script = /etc/samba/smbgrpadd.sh "%g"
add user to group script = /usr/sbin/usermod -G %g %u
domain logons = Yes
os level = 35
preferred master = Yes
domain master = Yes # Also der server ist der PDC
wins support = Yes
logon drive = U:
logon script = logon.bat
[netlogon]
comment = Network Logon Service
path = /home/netlogon/ # erstellen mit mkdir /home/netlogon/
guest ok = Yes
[homes]
comment = Home Directories
path = /home/%u
read only = No # schreiben ist erlaubt
browseable = No # der share ist nicht sichtbar
[team]
comment = Team Verzeichnis
path = /home/team
force group = user
read only = No
create mask = 0770
force create mode = 0770
Samba als PCD – How to [FC3]
Zitieren
Zitat von iche
) Nun habe ich aber ein Problem. Möchte ich einen Client in der Domäne einfügen, kommt bei mir immer folgende Fehlermeldung nach der Eingabe des Benutzernamens und des Passworts:
Lesezeichen