Samba4 in Windows Domäne einbinden

von

Heute beschäftigen wir uns damit, einen Samba4 in eine vorhandene Windows Domäne einzubinden. Und das ist sogar einfacher getan als gesagt!

Voraussetzung dafür:
– Vorhandene Windows Domäne mit DNS Service
– Eine Linux Maschine, in unserem Fall mit Ubuntu 22.04 LTS

Um schon einmal Fehlern vorzubeugen bietet es sich an, einen A-Record sowie Reverse-Lookup (PTR) auf seinem DNS Server für den zukünftigen Samba Server anzulegen

Pakete installieren

Auf dem Samba4 Server müssen nun die erforderlichen Pakete installiert werden:

sudo apt update
sudo apt install samba krb5-user krb5-config acl attr quota  \
winbind libpam-winbind libnss-winbind ntp dnsutils libpam-krb5 ldb-tools

Namensauflösung auf Samba4 Server

Konfigurieren Sie auf dem Samba4 Server nun die /etc/hosts sowie /etc/resolv.conf

sudo vi /etc/hosts

192.168.1.1 dc.domain.tld dc
192.168.1.2 samba.domain.tld samba

Ersetzen Sie 192.168.1.1 und 192.168.1.2 mit den tatsächlichen IP-Adressen Ihres Domänencontrollers bzw. Samba4-Servers und „domain.tld“ mit Ihrer Windows Domäne. „dc“ und „samba“ sind ebenfalls nur die Gerätenamen welche in Ihrem Netzwerk verwendet werden.

sudo vi /etc/resolv.conf

nameserver 192.168.1.1
search domain.tld

Wiederum ersetzen Sie 192.168.1.1 mit der IP-Adresse Ihres DNS-Servers i.d.R. den Domain Controller und „domain.tld“ mit dem Namen Ihrer Domäne.

Konfiguration der krb5.conf

Beginnen wir mit der Konfiguration für die saubere vergabe von Kerberos Tickets.

sudo vi /etc/krb5.conf

[libdefaults]
    default_realm = DOMAIN.TLD
    dns_lookup_realm = false
    dns_lookup_kdc = true

[realms]
    DOMAIN.TLD= {
        kdc = dc.domain.tld
        admin_server = dc.domain.tld
    }

An dieser Stelle ist es wichtig daran zu denken:
Ändern Sie die Domain in den oberen Zeilen zu Ihrem tatsächlichen Domänennamen in Großbuchstaben und „dc.domain.tld“ zum FQDN Ihres Domänencontrollers.

Konfiguration der smb.conf

Weiter geht es mit der /etc/smb.conf welche für die Konfiguration des Samba4 Servers zuständig ist.

sudo vi /etc/samba/smb.conf

[global]
    workgroup = DOMAIN
    security = ads
    realm = DOMAIN.TLD
    netbios name = SAMBA
    winbind use default domain = yes
    winbind enum users = yes
    winbind enum groups = yes

    idmap config * : backend = tdb
    idmap config * : range = 3000-7999
    idmap config DOMAIN : backend = rid
    idmap config DOMAIN : range = 10000-99999

    vfs objects = acl_xattr
    map acl inherit = yes
    store dos attributes = yes

[share]
    path = /PFAD/EINES/SHARES
    read only = no

Ersetzen Sie DOMAIN durch Ihren Domänennamen (NETBIOS-Name) und DOMAIN.TLD durch den FQDN Ihrer Domäne. Wichtig ist diese in Großbuchstaben anzugeben! Außerdem können Sie bereits einen share unter „path“ angeben.

Anpassungen in der /etc/nsswitch.conf

Passsen Sie die Zeilen für passwd und group in der Datei /etc/nsswitch.con an:

passwd           files systemd winbind
group             files systemd winbind

Damit erlauben Sie es dem winbind die Domänenbenutzer als lokale Unix Benutzer zu maskieren. Damit sind alle vorbereitungen für Ihren Samba4 Server für die Windows Domäne getan

Windows Domäne einbinden

Lassen Sie sich ein Kerberos Ticket ausstellen. In diesem Fall für den Domänenbenutzer „Administrator“

sudo kinit Administrator

Geben Sie dann das Passwort für den Administrator ein. Jetzt treten Sie der Domäne bei:

sudo net ads join -U Administrator

Am besten starten Sie nun Ihre Dienste neu und halten diese Reboot-Sicher:

sudo systemctl restart smbd nmbd winbind
sudo systemctl enable smbd nmbd winbind

Testen vom Samba4 mit der Windows Domäne

Testen Sie die Verbindung vom Samba4 zur Domäne mit:

smbclient -L //samba.domain.tld -U DOMAIN\\username

Die Verbindung vom Windows Client zum Samba4 Share testen Sie im Windows-Explorer mit:

\\samba.domain.tld

Lust auf mehr?

Auf unserem Blog finden Sie weitere Tutorials und nützliche Beiträge zu allerlei Themen Rund um Linux, Firewalls, Hosting, Backups, Nextcloud uvm.

Kontaktieren Sie uns wenn Sie Interesse an für Sie maßgeschneiderte IT-Lösungen haben. Wir helfen Ihnen dabei Ihr Unternehmen fit für die IT-Landschaft der Zukunft zu gestalten.

Denis Kuziel
Letzte Artikel von Denis Kuziel (Alle anzeigen)