Heute beschäftigen wir uns damit, einen Samba4 in eine vorhandene Windows Domäne einzubinden. Und das ist sogar einfacher getan als gesagt!
Voraussetzung dafür:
– Vorhandene Windows Domäne mit DNS Service
– Eine Linux Maschine, in unserem Fall mit Ubuntu 22.04 LTS
Um schon einmal Fehlern vorzubeugen bietet es sich an, einen A-Record sowie Reverse-Lookup (PTR) auf seinem DNS Server für den zukünftigen Samba Server anzulegen
Pakete installieren
Auf dem Samba4 Server müssen nun die erforderlichen Pakete installiert werden:
sudo apt update
sudo apt install samba krb5-user krb5-config acl attr quota \
winbind libpam-winbind libnss-winbind ntp dnsutils libpam-krb5 ldb-tools
Namensauflösung auf Samba4 Server
Konfigurieren Sie auf dem Samba4 Server nun die /etc/hosts sowie /etc/resolv.conf
sudo vi /etc/hosts
192.168.1.1 dc.domain.tld dc
192.168.1.2 samba.domain.tld samba
Ersetzen Sie 192.168.1.1
und 192.168.1.2
mit den tatsächlichen IP-Adressen Ihres Domänencontrollers bzw. Samba4-Servers und „domain.tld“ mit Ihrer Windows Domäne. „dc“ und „samba“ sind ebenfalls nur die Gerätenamen welche in Ihrem Netzwerk verwendet werden.
sudo vi /etc/resolv.conf
nameserver 192.168.1.1
search domain.tld
Wiederum ersetzen Sie 192.168.1.1
mit der IP-Adresse Ihres DNS-Servers i.d.R. den Domain Controller und „domain.tld“ mit dem Namen Ihrer Domäne.
Konfiguration der krb5.conf
Beginnen wir mit der Konfiguration für die saubere vergabe von Kerberos Tickets.
sudo vi /etc/krb5.conf
[libdefaults]
default_realm = DOMAIN.TLD
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
DOMAIN.TLD= {
kdc = dc.domain.tld
admin_server = dc.domain.tld
}
An dieser Stelle ist es wichtig daran zu denken:
Ändern Sie die Domain in den oberen Zeilen zu Ihrem tatsächlichen Domänennamen in Großbuchstaben und „dc.domain.tld“ zum FQDN Ihres Domänencontrollers.
Konfiguration der smb.conf
Weiter geht es mit der /etc/smb.conf welche für die Konfiguration des Samba4 Servers zuständig ist.
sudo vi /etc/samba/smb.conf
[global]
workgroup = DOMAIN
security = ads
realm = DOMAIN.TLD
netbios name = SAMBA
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config DOMAIN : backend = rid
idmap config DOMAIN : range = 10000-99999
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
[share]
path = /PFAD/EINES/SHARES
read only = no
Ersetzen Sie DOMAIN durch Ihren Domänennamen (NETBIOS-Name) und DOMAIN.TLD durch den FQDN Ihrer Domäne. Wichtig ist diese in Großbuchstaben anzugeben! Außerdem können Sie bereits einen share unter „path“ angeben.
Anpassungen in der /etc/nsswitch.conf
Passsen Sie die Zeilen für passwd und group in der Datei /etc/nsswitch.con an:
passwd files systemd winbind
group files systemd winbind
Damit erlauben Sie es dem winbind die Domänenbenutzer als lokale Unix Benutzer zu maskieren. Damit sind alle vorbereitungen für Ihren Samba4 Server für die Windows Domäne getan
Windows Domäne einbinden
Lassen Sie sich ein Kerberos Ticket ausstellen. In diesem Fall für den Domänenbenutzer „Administrator“
sudo kinit Administrator
Geben Sie dann das Passwort für den Administrator ein. Jetzt treten Sie der Domäne bei:
sudo net ads join -U Administrator
Am besten starten Sie nun Ihre Dienste neu und halten diese Reboot-Sicher:
sudo systemctl restart smbd nmbd winbind
sudo systemctl enable smbd nmbd winbind
Testen vom Samba4 mit der Windows Domäne
Testen Sie die Verbindung vom Samba4 zur Domäne mit:
smbclient -L //samba.domain.tld -U DOMAIN\\username
Die Verbindung vom Windows Client zum Samba4 Share testen Sie im Windows-Explorer mit:
\\samba.domain.tld
Lust auf mehr?
Auf unserem Blog finden Sie weitere Tutorials und nützliche Beiträge zu allerlei Themen Rund um Linux, Firewalls, Hosting, Backups, Nextcloud uvm.
Kontaktieren Sie uns wenn Sie Interesse an für Sie maßgeschneiderte IT-Lösungen haben. Wir helfen Ihnen dabei Ihr Unternehmen fit für die IT-Landschaft der Zukunft zu gestalten.
- Nextcloud Lizenz: Push-Service wird teuer – eigenen Push Service einrichten - 28. November 2024
- Moodle™ mit ClamAV sichern - 2. Oktober 2024
- Nextcloud mit ClamAV prüfen - 18. September 2024