Linux als Windowsfileserver in der ADS: Unterschied zwischen den Versionen
| Zeile 39: | Zeile 39: | ||
security = ads | security = ads | ||
encrypt passwords = yes | encrypt passwords = yes | ||
| − | + | ||
idmap config * : backend = tdb | idmap config * : backend = tdb | ||
idmap config * : range = 10000-20000 | idmap config * : range = 10000-20000 | ||
idmap config LAB : backend = rid | idmap config LAB : backend = rid | ||
idmap config LAB : range = 20000-30000 | idmap config LAB : range = 20000-30000 | ||
| − | + | ||
winbind use default domain = yes | winbind use default domain = yes | ||
winbind offline logon = false | winbind offline logon = false | ||
| Zeile 50: | Zeile 50: | ||
winbind enum users = yes | winbind enum users = yes | ||
winbind enum groups = yes | winbind enum groups = yes | ||
| − | + | ||
template shell = /bin/bash | template shell = /bin/bash | ||
template homedir = /home/%U | template homedir = /home/%U | ||
| − | + | ||
kerberos method = secrets and keytab | kerberos method = secrets and keytab | ||
dedicated keytab file = /etc/krb5.keytab | dedicated keytab file = /etc/krb5.keytab | ||
| − | + | ||
log file = /var/log/samba/%m.log | log file = /var/log/samba/%m.log | ||
log level = 1 | log level = 1 | ||
| − | + | ||
[pool1] | [pool1] | ||
path = /pool1 | path = /pool1 | ||
Version vom 18. September 2024, 12:44 Uhr
Voraussetzungen
- Das System läuft unter Debian mit einem ZFS-Mirror (Pool: /pool1).
- Die Domain lautet: lab.internal.
- Die ZFS-Freigabe soll pool1 heißen.
- Du benötigst administrative Zugangsdaten zur Domäne.
Installation der notwendigen Pakete
Installiere die erforderlichen Pakete:
apt update apt install samba smbclient krb5-user winbind libpam-winbind libnss-winbind
Während der Installation von krb5-user wirst du nach der Standard-Domäne gefragt. Gib dort die Domäne lab.internal an.
Kerberos konfigurieren
Bearbeite die Datei /etc/krb5.conf, um Kerberos korrekt einzurichten. Ein Beispiel für die Konfiguration:
[libdefaults]
default_realm = LAB.INTERNAL
[realms]
LAB.INTERNAL = {
kdc = win2022.lab.internal
admin_server = win2022.lab.internal
}
[domain_realm]
.lab.internal = LAB.INTERNAL
lab.internal = LAB.INTERNAL
Teste die Konfiguration mit:
kinit administrator@LAB.INTERNAL
Samba konfigurieren
Bearbeite die Datei /etc/samba/smb.conf. Eine Beispielkonfiguration für einen Domänenmitglied-Server:
[global] workgroup = LAB realm = LAB.INTERNAL security = ads encrypt passwords = yes idmap config * : backend = tdb idmap config * : range = 10000-20000 idmap config LAB : backend = rid idmap config LAB : range = 20000-30000 winbind use default domain = yes winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes template shell = /bin/bash template homedir = /home/%U kerberos method = secrets and keytab dedicated keytab file = /etc/krb5.keytab log file = /var/log/samba/%m.log log level = 1 [pool1] path = /pool1 read only = no browseable = yes valid users = @LAB\deinegruppe create mask = 0770 directory mask = 0770
Domäne beitreten
Um den Server der Domäne beitreten zu lassen, führe den folgenden Befehl aus:
net ads join -U Administrator
Gib das Passwort des Domänenadministrators ein, wenn du dazu aufgefordert wirst.
Winbind-Dienste aktivieren
Aktiviere die Winbind-Dienste und starte Samba:
systemctl restart smbd nmbd winbind systemctl enable smbd nmbd winbind
Teste, ob Benutzer und Gruppen der Domäne aufgelistet werden können:
wbinfo -u wbinfo -g
Überprüfe, ob Domänenbenutzer korrekt angezeigt werden:
getent passwd DOMÄNENBENUTZER
Freigabe konfigurieren
Stelle sicher, dass die Zugriffsrechte auf /pool1 korrekt gesetzt sind. Verwende die folgenden Befehle, um Domänenbenutzer und -gruppen Zugriff zu gewähren:
setfacl -m u:LAB\\Benutzer:rwx /pool1