Aufsetzen eines Domänencontrollers (Domäne) auf Samba Basis

Die Installation und Konfiguration der Samba als Active Directory Dienstes auf einem Linux Server ist einfacher als man denkt. Die Verwaltung der Benutzer, Gruppen etc. findet auf einem Windows 10 PC statt. Es werden dabei die gewöhnlichen Tools von Microsoft verwendet.

Die Konfigurationsdaten des Servers dc1 (Domänen Controller)

Betriebssystem: Debian 11
Servername: dc1
Domäne: schule.lan
IP-Adresse: 172.16.0.10
Netmask: 255.255.252.0
Gateway: 172.16.0.1
DNS: 192.168.2.1 (Nach der Samba Installation wird auf 172.16.0.10 geändert)
Zu installierende Dienst: Samba als Domänen Controller

Es wird davon ausgegangen, dass

  • eine VM mit der richtigen Netzwerkkarte erstellt wurde
  • debian 11 Standard Installation durchgeführt ist, am besten ohne grafische Oberfläche und mit ssh Server.
    Einstellungen zu ssh-Server und update finden die hier Punkt 2 und 3
  • die VM Firewall-pfSense läuft und entsprechend konfiguriert ist.
Punkt
Die Samba-Pakete und die LDAP-Tools, die möglicherweise später gebraucht werden, werden jetzt installiert.

 

root@dc1:~# apt-get install samba winbind smbclient
root@dc1:~# apt-get install ldb-tools ldapscripts
Punkt
Die Samba wird zu einem Domänencontroller konfiguriert. Als Erstes löschen wir die schon vorhandene /etc/samba/smb.conf Datei. Wenn wir die Datei nicht löschen, bekommen wir beim Aufsetzen des Domänencontrollers eine Fehlermeldung.

 

root@dc1:~# rm /etc/samba/smb.conf
Punkt
Der Domäne schule.lan auf Basis von Samba wird aufgesetzt. Zu diesem Zweck verwenden wie samba-tool. Wenn wir die obengenannten Daten bei der Installation verwendet haben, dann bestätigen wir nur mit der Taste Enter. In letztem Schritt definieren wir noch ein Passwort für den Administrator der Domäne.

 

root@dc1:~# samba-tool domain provision --use-rfc2307 --interactive

 

Punkt
Die krb5.conf Datei kopieren wir noch in den Ordner /etc

 

root@dc1:~# cp /var/lib/samba/private/krb5.conf /etc/

 

Punkt
Um samba-ad-dc Dienst zu aktivieren sollten man zuerst die Dienste smbd, nmbd,und winbind stopen und deaktivieren. Den Dienst samba-ab-dc kann man jetzt aktivieren und starten

 

root@dc1:~# systemctl stop smbd nmbd winbind
root@dc1:~# systemctl disable smbd nmbd winbind
root@dc1:~# systemctl unmask samba-ad-dc
root@dc1:~# systemctl enable samba-ad-dc
root@dc1:~# systemctl restart samba-ad-dc

 

Punkt
Mit den folgenden Befehlen kann man überprüfen, den Status des Dienstes, die Benutzer in der Domänen kann auflisten, und die Gruppen der Domäne kann man auflisten

 

root@dc1:~# smbclient -L localhost -U%
root@dc1:~# wbinfo -u
root@dc1:~# wbinfo -g
Punkt
Der Samba-Server ist schon funktionsfähig, dennoch wir und den Status des Dienstes genau anschauen, sehen wir noch Errors. Wir müssen dem Server klarmachen, dass der DNS in System nicht der 192.168.2.1 ist sondern der selbst, also 172.16.0.10. Wir sollten zwei Dateien anpassen, nämlich /etc/network/interfaces und /etc/resolv.conf. in der Datei /etc/network/interfaces sollte unter dns-nameservers die 172.16.0.10 stehen.
In /etc/resolv.conf sollte man auch den Eintrag korrigieren. Die Datei sollte wie folgt aussehen.

domain schule.lan
search schule.lan
nameserver 172.16.0.10

 

Punkt
Wir möchten gerne auch den Radius-Dienst für die WLAN-Authentifizierung nutzen, aus diesem Grund müssen wir ein wenig die /etc/samba/smb.conf anpassen.

 

# Global Parameters
[global]
     dns forwarder = 192.168.2.1
     netbios name = DC1
     realm = SCHULE.LAN
     server role = active directory domain controller
     workgroup = SCHULE
     idmap_ldb:use rfc2307 = yes
     # Dieser Parameter wird für die Client Radius Authentifizierung gebraucht.
     ntlm auth = yes


[sysvol]
     path = /var/lib/samba/sysvol
     read only = No

[netlogon]
     path = /var/lib/samba/sysvol/firma.lan/scripts
     read only = No

 

Zugriff auf die zwei Freigaben sysvol und netlogon bekommt man nur mit der Nutzung den Namen des Servers, unter Windows z.B. \\dc1. Bei der Nutzung der IP-Adresse des Servers z.B. \\172.16.0.10 bekommt man keinen Zugriff auf die Freigaben.

 

Wichtige Hinweise:
Im Netz haben wir jetzt

  • einen Domänen-Controller
  • einen DNS-Server

Einen DHCP Server werden wir noch installieren und konfigurieren, und zwar auf dem gleichen Server, also auf dem dc1. Die Clients bekommen dann selbstverständlich verschiedene IP-Adresse, aber die andere Netzwerkeinstellungen wie Netzmaske, Gateway, DNS und DNS-Suffix bleiben die gleiche.

Ein Beispiel der Netzwerkkonfiguration eines Clients

IP-Adresse: 172.16.0.19
Netzmaske: 255.255.252.0
Gateway: 172.16.0.1
DNS: 172.16.0.10
DNS-Suffix: schule.lan

Die Verwaltung der Benutzer, Gruppen etc. in der Domäne findet auf einem Windows 10 Client statt. Der Windows 10 Client muss sich allerdings in der Domäne befinden. Es werden auch Standard Microsoft Tools verwendet, aber das wird in einem anderen Kapitel beschrieben.