Linux als Windowsfileserver in der ADS
Version vom 18. September 2024, 13:08 Uhr von Thomas.will (Diskussion | Beiträge) (→Freigabe konfigurieren)
Voraussetzungen
- Das System läuft unter Debian mit einem ZFS-Mirror (Pool: /pool1).
- Die Domain lautet: lab.internal.
- Die ZFS-Freigabe soll pool1 heißen.
- Du benötigst administrative Zugangsdaten zur Domäne.
Installation der notwendigen Pakete
Installiere die erforderlichen Pakete:
apt update apt install samba smbclient krb5-user winbind libpam-winbind libnss-winbind
Während der Installation von krb5-user wirst du nach der Standard-Domäne gefragt. Gib dort die Domäne lab.internal an.
Kerberos konfigurieren
Bearbeite die Datei /etc/krb5.conf, um Kerberos korrekt einzurichten. Ein Beispiel für die Konfiguration:
[libdefaults]
default_realm = LAB.INTERNAL
[realms]
LAB.INTERNAL = {
kdc = win2022.lab.internal
admin_server = win2022.lab.internal
}
[domain_realm]
.lab.internal = LAB.INTERNAL
lab.internal = LAB.INTERNAL
Teste die Konfiguration mit:
kinit administrator@LAB.INTERNAL
Samba konfigurieren
Bearbeite die Datei /etc/samba/smb.conf. Eine Beispielkonfiguration für einen Domänenmitglied-Server:
[global] workgroup = LAB realm = LAB.INTERNAL security = ads encrypt passwords = yes idmap config * : backend = tdb idmap config * : range = 10000-20000 idmap config LAB : backend = rid idmap config LAB : range = 20000-30000 winbind use default domain = yes winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes template shell = /bin/bash template homedir = /home/%U kerberos method = secrets and keytab dedicated keytab file = /etc/krb5.keytab log file = /var/log/samba/%m.log log level = 1 [pool1] path = /pool1 read only = no browseable = yes valid users = @LAB\deinegruppe create mask = 0770 directory mask = 0770
Domäne beitreten
Um den Server der Domäne beitreten zu lassen, führe den folgenden Befehl aus:
net ads join -U Administrator
Gib das Passwort des Domänenadministrators ein, wenn du dazu aufgefordert wirst.
Winbind-Dienste aktivieren
Aktiviere die Winbind-Dienste und starte Samba:
systemctl restart smbd nmbd winbind systemctl enable smbd nmbd winbind
Teste, ob Benutzer und Gruppen der Domäne aufgelistet werden können:
wbinfo -u wbinfo -g
Überprüfe, ob Domänenbenutzer korrekt angezeigt werden:
getent passwd DOMÄNENBENUTZER
Freigabe konfigurieren
ACL-Typ auf POSIX-ACL setzen
zfs set acltype=posixacl pool1
Setzen von ACLs mit setfacl: Jetzt kannst du wie gewohnt mit setfacl Berechtigungen verwalten
setfacl -m g:domänen-benutzer:rwx /pool1
Überprüfen der ACLs: Prüfe, ob die ACLs korrekt angewendet wurden
getfacl /pool1