Linux als Windowsfileserver in der ADS: Unterschied zwischen den Versionen
| Zeile 20: | Zeile 20: | ||
[realms] | [realms] | ||
LAB.INTERNAL = { | LAB.INTERNAL = { | ||
| − | kdc = | + | kdc = win2022.lab.internal |
| − | admin_server = | + | admin_server = win2022.lab.internal |
} | } | ||
Version vom 18. September 2024, 12:44 Uhr
Voraussetzungen
- Das System läuft unter Debian mit einem ZFS-Mirror (Pool: /pool1).
- Die Domain lautet: lab.internal.
- Die ZFS-Freigabe soll pool1 heißen.
- Du benötigst administrative Zugangsdaten zur Domäne.
Installation der notwendigen Pakete
Installiere die erforderlichen Pakete:
apt update apt install samba smbclient krb5-user winbind libpam-winbind libnss-winbind
Während der Installation von krb5-user wirst du nach der Standard-Domäne gefragt. Gib dort die Domäne lab.internal an.
Kerberos konfigurieren
Bearbeite die Datei /etc/krb5.conf, um Kerberos korrekt einzurichten. Ein Beispiel für die Konfiguration:
[libdefaults]
default_realm = LAB.INTERNAL
[realms]
LAB.INTERNAL = {
kdc = win2022.lab.internal
admin_server = win2022.lab.internal
}
[domain_realm]
.lab.internal = LAB.INTERNAL
lab.internal = LAB.INTERNAL
Teste die Konfiguration mit:
kinit administrator@LAB.INTERNAL
Samba konfigurieren
Bearbeite die Datei /etc/samba/smb.conf. Eine Beispielkonfiguration für einen Domänenmitglied-Server:
[global] workgroup = LAB realm = LAB.INTERNAL security = ads encrypt passwords = yes
idmap config * : backend = tdb idmap config * : range = 10000-20000 idmap config LAB : backend = rid idmap config LAB : range = 20000-30000
winbind use default domain = yes winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes
template shell = /bin/bash template homedir = /home/%U
kerberos method = secrets and keytab dedicated keytab file = /etc/krb5.keytab
log file = /var/log/samba/%m.log log level = 1
[pool1] path = /pool1 read only = no browseable = yes valid users = @LAB\deinegruppe create mask = 0770 directory mask = 0770
Domäne beitreten
Um den Server der Domäne beitreten zu lassen, führe den folgenden Befehl aus:
net ads join -U Administrator
Gib das Passwort des Domänenadministrators ein, wenn du dazu aufgefordert wirst.
Winbind-Dienste aktivieren
Aktiviere die Winbind-Dienste und starte Samba:
systemctl restart smbd nmbd winbind systemctl enable smbd nmbd winbind
Teste, ob Benutzer und Gruppen der Domäne aufgelistet werden können:
wbinfo -u wbinfo -g
Überprüfe, ob Domänenbenutzer korrekt angezeigt werden:
getent passwd DOMÄNENBENUTZER
Freigabe konfigurieren
Stelle sicher, dass die Zugriffsrechte auf /pool1 korrekt gesetzt sind. Verwende die folgenden Befehle, um Domänenbenutzer und -gruppen Zugriff zu gewähren:
setfacl -m u:LAB\\Benutzer:rwx /pool1