Samba - Active-Directory, Installation und Konfiguration

Die Installation und Konfiguration der Samba als Active Directory Dienstes auf einem Linux Server ist einfacher als man denkt. Die Verwaltung der Benutzer, Gruppen etc. findet auf einem Windows 10 PC statt. Es werden dabei die gewöhnliche Tools von Microsoft verwendet.


Ausgangsinformationen:

Betriebssystem: Debian 11
Servername: dc1
Domäne: firma.lan
IP-Adresse: 192.168.15.10
Maske: 255.255.255.0
DNS: 8.8.8.8
Gateway: 192.168.15.1

Wichtig:
Die DNS-IP: 8.8.8.8 wird auf dem Samba Server als externe DNS genutzt. Für alle andere Server und Clients nach dem aufsetzten der AD ist die DNS-IP: 192.168.15.10, also die IP-Adresse des DC1 Servers.

 

1.
Wir installieren zuerst auf einer VM Debian 11, Standard Einstellungen, ohne graphischer Oberfläche und mit SSH-Server. Bei der Installation nutzen wir gleich die Daten die sich oben unter Ausgangsinformationen befinden.

2.
Nach der Installation überprüfen, ob Internet verfügbar ist, wenn ja, dann machen wir kleine Anpassungen in System
wir öffnen die Datei /etc/ssh/sshd_config und ändern wir ein Eintrag. Der Eintrag wird auskommentiert und auf Yes gesetzt.

#PermitRootLogin prohibit-password
PermitRootLogin yes


Die Einstellungen können wir wieder nach Bedarf im späteren Zeitpunkt zurücknehmen.


Nach dem Neustart des ssh Dienstes können wir uns per z.B. putty als root an dem Server anmelden.

 

root@dc1:~# systemctl restart ssh.service
3.
Weitere Pakete werden aus dem Internet installiert, deshalb machen wir noch eine kleine Änderung in /etc/apt/sources.list
Es wird eine Zeile kommentiert.

# von
deb cdrom:[Debian GNU/Linux ... - Official amd64 DVD Binary ...
# auf
# deb cdrom:[Debian GNU/Linux ... - Official amd64 DVD Binary ...

 

4.
Jetzt können wir Samba Pakete installieren. Wir installieren noch zwei weitere Pakete. Die werden nicht gebraucht, aber vielleicht in späterem Zeitpunkt.
 
root@dc1:~# apt-get install samba winbind smbclient
root@dc1:~# apt-get install ldb-tools ldapscripts
5.
Jetzt können wir Samba als AD aufsetzten. Bevor wir das machen, müssen wir die /etc/samba/smb.conf löschen.

root@dc1:~# rm /etc/samba/smb.conf


Mit folgendem Befehlen wird die Active Directory aufgesetzt. Bei dem ersten Befehl müssen Sie im Grundegenommen nur mit der Taste Enter bestätigen und ein Passwort setzen. Der zweite Befehl kopiert die krb5.conf Datei in /etc Ordner.

 
root@dc1:~# samba-tool domain provision --use-rfc2307 --interactive
root@dc1:~# cp /var/lib/samba/private/krb5.conf /etc/

 

6.
Um samba-ad-dc Dienst zu aktivieren sollten man vorher einige Dienste stoppen und deaktivieren. Die darunter stehende Befehle sollte man ausführen.
root@dc1:~# systemctl stop smbd nmbd winbind
root@dc1:~# systemctl disable smbd nmbd winbind
root@dc1:~# systemctl unmask samba-ad-dc
root@dc1:~# systemctl enable samba-ad-dc
root@dc1:~# systemctl stop samba-ad-dc
root@dc1:~# systemctl start samba-ad-dc


Der Domäne firma.lan ist auf dem Domänen Controller dc1 aufgesetzt.

7.
Wir möchten auch gerne den dc1 für die Benutzer Authentifizierung der Radius Dienstes nutzen. Die Datei /etc/samba/smb.conf könnte man noch ergänzen und sollte wie folgt aussehen.
# Global parameters
[global]
     dns forwarder = 8.8.8.8
     netbios name = DC1
     realm = FIRMA.LAN
     server role = active directory domain controller
     workgroup = FIRMA
     idmap_ldb:use rfc2307 = yes
     # Dieser Parameter wird für die Client Radius Authentifizierung gebraucht.
     ntlm auth = yes
 
[sysvol]
     path = /var/lib/samba/sysvol
     read only = No
 
[netlogon]
     path = /var/lib/samba/sysvol/firma.lan/scripts
     read only = No


Wichtige Hinweise:
Im Netz haben wir jetzt mindestens

  • einen Domänen Controller
  • einen DNS Server

Einen DHCP Server haben wir noch nicht, aber möglicherweise haben Sie schon einen. Bevor wir die Windows Client in die Domäne aufnehmen, sollten wir folgendes beachten.
Egal, ob die Clients per DHCP die IP bekommen oder manuell eingestellt werden, muss auf den Clients der DNS-Server: 192.168.15.10 eingetragen sein, sonnst können wir die Domäne nicht beitreten.

Ein Beispiel der Netzwerk Konfiguration eines Clients

IP-Adresse: 192.168.15.54
Netzmaske: 255.255.255.0
Gateway: 192.168.15.1
DNS: 192.168.15.10
DNS-Suffix: firma.lan

Die Verwaltung der Benutzer, Gruppen etc. in der Domäne findet auf einem Windows 10 Client statt. Der Windows 10 Client muss sich allerdings in der Domäne befinden. Es werden auch Standard Microsoft Tools verwendet, aber das wird in einem anderem Kapitel beschrieben.


--> weitere Informationen kommen.