Die 4. Auflage des Samba 4 Buches (die zweite Auflage zusammen mit dem Hanser-Verlag) ist erschienen.
Bei dieser Auflage habe ich es geschafft, dass die Samba-Version die im Moment aktuell ist, als Grundlage für das Buch gedient hat. Das hat nur dank der schnellen Bereitstellung der Pakete von Louis van Belle für Debian und Björn Baumbach von der Firma Sernet geklappt. Beide haben mir die Pakete direkt nach dem Erscheinen der rc1 Version erstellt. Nur so konnte ich bereits Ende Januar mit der neuen Auflage beginnen. Nach der ersten Installation der Version 4.14 habe ich gesehen, dass sich so viel geändert hat, dass ich mir Gedanken über den Inhalt machen musste. Ich wollte Ihnen mit dieser Auflage ein komplett überarbeitetes Buch an die Hand geben: Das hat auch geklappt, denke ich mal. Viele Inhalte habe ich komplett überarbeitet und einiges, wie zum Beispiel das Bauen der Pakte, habe ich aus dem Buch genommen. Der Grund dafür: Es gibt mittlerweile für verschiedenen Distributionen die aktuellen Pakete von verschiedenen Quellen. So sind sehr viele Seiten nicht mehr im Buch, aber erheblich mehr an Inhalt ist dazu gekommen. Unter anderem sind die folgenden Inhalte dazu gekommen:
- Desaster-Recovery eine Active Directory-Domäne
- Erweiterte Konfiguration von Gluster
- Noch mehr Beispiele für die Einrichtung von Freigaben
- Gruppenrichtlinien für Linux-Hosts
- Genaue Anleitung zur Einrichtung von servergespeicherten Profilen mit GPOs
- Einrichtung von Ordnerumleitungen mit GPOs
- Neue Möglichkeiten mit dem samba-tool
Auch in dieser Auflage habe ich wieder Debian und Ubuntu als Grundlage genutzt, da es immer noch keine offiziellen Pakete für Domaincontroller für Redhat und Suse gibt. Doch selbst wenn Sie andere Distributionen einsetzen und Samba selber bauen, können Sie alle administrativen Schritte an Hand des Buches nachvollziehen, denn der Unterschied liegt nur in der Installation.
Alle anderen, aus den vorherigen Auflagen bekannten Inhalte wurden von mir komplett überarbeitet und auf den aktuellen Stand gebracht.
Wie immer freue ich mich natürlich wieder auf konstruktive Rückmeldungen zum Buch. Viele der Mails von Lesern mit Anregungen und Korrekturen sind auch dieses Mal wieder in das Buch eingegangen.
Ich wünsche Ihnen viel Spaß beim Lesen und hoffe, Sie können Ihre Aufgaben mit dem Buch erfolgreich durchführen.
Downloads zum Buch stelle ich dieses mal über ein Archiv komplett zur Verfügung
Leider hat sich in der Download-Datei der Fehlerteufel eingeschlichen und die Daten für die Einrichtung mit Ansible fehlen, die liefere ich dann hier nach. Aber bitte beachten: Die Dateien basieren auf den Pakten von Louis van Belle, der leider die Pakte nicht mehr bereitstellt. Am besten, Sie schwenken auf Debian 11 (im Buch ist noch alles Debian 10) und verwenden die Samba-Pakete aus den Backports.
By maxprox 15. Oktober 2021 - 13:00
Hallo Stefan,
danke für die neue Auflage „gutes wird noch besser …. ;-)“
Frage / Anmerkung, S 37, zur Schlüsseldatei dns.keytab** liegt unter … /bind-dns/.. (laut Ihrem Buch) und unter … /private/.. (laut SAMBA-Wiki); beide sind identisch.
Ist eine aus einem bestimmten Grund zu bevorzugen?
(Debian 11 Bullseye, Samba 4.15 van Belle Repositories)
Grüße,
Gerd Peter
By SambaFan 15. Februar 2021 - 12:49
Hallo, an dieser Stelle mein großes Lob für das Buch Samba4. Ich habe es nun auch in der aktuellen Ausgabe. Es ist ein wirklich tolles Nachschlagewerk. Eine Sache klappt bei mir leider noch nicht ganz: In Kapitel 8 wird der ausfallsichere DHCP-Server beschrieben. Ich habe das so umgesetzt, wie im Buch und Failover sowie Load Balancing laufen von außen betrachtet gut. Jedoch wird scheinbar das Skript (mittlerweile Version 0.9.2) auf beiden Servern gleichzeitig ausgeführt (Event „on commit“). Das hat den Effekt, dass auf beiden Servern gleichzeitig ein DNS-Eintrag erstellt wird, wenn dieser nicht bereits vorhanden war. Somit entstehen sowohl in der Forward- als auch in der Reverse-Zone „Conflict-Einträge“, welche der DNS dann so auflöst, dass einer der beiden als hostname\nCNF:UID bzw. ip-adresse\nCNF:UID in der Forward-Zone bzw. Reverse-Zone erscheint. Die Namensauflösung in beide Richtungen funktioniert, da ja auch die korrekten Einträge im DNS stehen. Jedoch stören die CNF-Einträge. Was kann ich einstellen bzw. überprüfen? Wie kann man diese CNF-Einträge verhindern? Ich habe leider keine Antwort im Buch oder im Netz gefunden.
By Stefan 15. Februar 2021 - 13:15
Danke für das Lob zum Buch. Zu dem neuen Skript kann ich leider noch nichts sagen, es wird aber definitiv in einer neuen Auflage im Sommer oder Herbst angesprochen. Ich muss das auch erst testen. Ich bin leider noch nicht soweit. Am besten ist, Sie fragen auf der Samba-Mailingliste nach, da ist der Rowland Penny der das Skript geschrieben habt sehr aktiv und gibt gerne Hilfen dazu.
By Kai-Uwe 27. Dezember 2020 - 12:02
Hallo Stefan,
vielen Dank für das toll recherchierte Buch und die verständlichen Anleitungen.
Ich habe mehrere Debian Clients erfolgreich in eine Windows Domäne integrieren können. Works like a charm!
Eines ist mir allerdings nicht gelungen. Grundsätzlich ist DNS konfiguriert. Forward uns Reverse Lookups können durchgeführt werden.
Die Linux Clients updaten Ihre IPv4 Adressen am (Windows) Domain Controller, aber nicht die IPv6 Adressen.
Muss man das extra aktivieren oder ist das default?
Alle Windows Clients werden stehts mit allen IP Adressen im DNS eingetragen.
Herzlichen Gruß und einen guten Rutsch in ein gesundes 2021.
By Stefan 27. Dezember 2020 - 12:22
Hallo Kai-Uwe,
IPv6 hängt davon ab welchen DNS-Server du nutzt und wie du den eingerichtet hast. Wenn du Bind9 nutzt, musst du den erst für IPv6 konfigurieren, erst dann werden die Adressen eingetragen. Beim Bind9 musst du in der named.conf.options die Zeile „listen-on-v6 port 53 {any;};“ eintragen. Auch sollte ein „ss -tlp | grep samba“ dir die IPv6 Adressen deines Samba-Servers anzeigen, sonst ist IPv6 gar nicht möglich.
By maxprox 13. Juli 2019 - 16:59
Zur Beseitigung der Fehlermeldung:
„rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)“
halfen die Google Ergebnisse für Debian Buster nicht, bei mir funktionierten folgende Einträge:
root@dc:~# cat /etc/security/limits.conf
…
root hard nofile 16384
root soft nofile 16384
By maxprox 13. Juli 2019 - 14:33
Hallo Stefan,
nach deinen Hinweisen möchte ich ab jetzt auch ADDC und Fileserver trennen, bsonders einfach, da unter Proxmox (KVM) virtualisiert.
In deinem aktuellen Kapitel 9 steht dann plötzlich:
„Nach der Installation von Samba müssen Sie…..“
Jetzt such ich schon recht lange genau nach dieser Installation. Ich finde weder unter dem Install-Kapitel noch sons wo die genauen Pakete speziell für ein Samba 4 Fileserver als Domain Member (zZ unter Debian 10 Buster DistriPaketen)…
Sind das die?:
“ apt install samba acl attr krb5-user winbind libnss-winbind libpam-winbind libpam-krb5 “
Kannst du helfen?
Das sind doch nicht die selben, wie die des ADDCs? Oder doch?
By ubu74 1. Oktober 2020 - 11:02
Doch das passt:
apt-get install libnss-winbind libpam-winbind samba acl libpam-krb5
Kerberos Konfiguration:
/etc/krb5.conf:
[libdefaults]
default_realm = AD.DOMAIN.TLD
dns_lookup_realm = false
dns_lookup_kdc = true
libnss-winbind aktivieren:
/etc/nsswitch.conf:
passwd: compat winbind
group: compat winbind
Mit pam-auth-update pam-winbind aktivieren
/etc/samba/smb.conf:
[global]
workgroup = AD
realm = AD.DOMAIN.TLD
security = ADS
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = no
winbind refresh tickets = yes
kerberos method = secrets and keytab
dedicated keytab file = /etc/krb5.keytab
template shell = /bin/bash
idmap config * : range = 10000 – 19999
idmap config AD : backend = rid
idmap config AD : range = 1000000 – 1999999
inherit acls = yes
store dos attributes = yes
vfs objects = acl_xattr
Namensauflösung gegen AD-DNS in /etc/resolv.conf testen
host -t SRV _ldap._tcp.ad.domain.tld muss den dc liefern:
_ldap._tcp.ad.domain.tld SRV record 0 100 389 dc01.ad.domain.tld
Kerberos testen:
kinit Administrator
klist muss Ticket anzeigen
net ads join -Uadministrator
samba-tool domain join $FQDNDOMAIN MEMBER -k yes
systemctl restart winbind samba
By Robert Hunger 16. April 2019 - 12:00
Hallo Stefan,
erstmal Danke für den tollen Lesestoff. Jedes Samba Buch von dir, wie auch das Buch Linux Server hab ich gelesen und haben mir sehr bei meiner täglichen Arbeit unterstützt. Das Buch Shell-Programmierung hab ich in Arbeit, aber da fehlen mir noch einige Seiten. Ich will da jetzt nicht übertrieben „Loben“ oder platt Werbung machen, aber mir haben die Bücher wirklich sehr viel geholfen. Vor Allem kann ich das „Linux Server Buch“ Jedem empfehlen, für Fortgeschrittene zum Nachschlagen und natürlich speziell für Anfänger sehr zu empfehlen.
Selbst bin ich auf ein Problem gestoßen, als ich meine Samba 4 Server von Debian 8 Jessie auf Debian 9 Stretch gehoben habe. Hier wurde Samba von der Version 4.2.14 auf die Version 4.5.16 aktualisiert. Das Upgrade selbst verlief problemlos und alle anschließenden Tests auf Funktionalität waren alle fehlerfrei.
Nach ein paar Tagen wurde festgestellt dass sich noch die vereinzelten Windows 7 Clients nicht mehr über RDP an anderen Systemen über die IP-Adresse für den Host anmelden konnten. Über den FQDN funktionierte aber der Zugriff. Windows 10 Systeme hatten dagegen kein Problem.
In der Folge wurde später auch festgestellt dass aus einem fremden Netzwerk das via VPN angeschlossen ist, die Windows Server 2008 R2 Systeme keine Verbindung via SMB zu Freigaben unseres Netzwerks aufbauen konnte.
Im neuen Buch unter dem Kapitel „3.1 Unterschiede zwischen den verschiedenen Samba4-Versionen“ wird auf die Änderung auch für die Version 4.5 in Debian Stretch verwiesen, das hat mich aber nicht vor den Folgen bewahrt, dies nicht zu berücksichtigen.
Näheres fand ich nach längerer Suche unter https://wiki.samba.org/index.php/Samba_4.5_Features_added/changed „NTLMv1 authentication disabled by default“
Die NTLMv1 Unterstützung konnte ich mit folgendem Eintrag in der smb.conf aktivieren und der Zugriff für die Windows 7 und Server 2008 R2 Systeme wieder gewährleisten.
ntlm auth = yes
Jetzt bin ich aber nicht Sicher, ob ich mir damit ein großes Sicherheitsloch aufgerissen habe. Kann mit einer anderen Einstellung die Sicherheit erhöht werden, ohne die Systeme auszuschliessen?
Danke für deine Hilfe und sorry für den langen Text.
Gruß Robert
By Stefan 16. April 2019 - 18:49
NTLMv1 sollte auf gar keine Fall mehr verwendet werden. Eine gute Beschreibung dazu findet man hier: https://miriamxyra.com/2017/11/08/stop-using-lan-manager-and-ntlmv1/. Alle aktuellen noch im Support befindlichen Microsoft Betriebssysteme unterstützen mindestens NTLMv2 und somit besteht kein Grund mehr die alte unsichere Version zu nutzen. Durch den Parameter „ntlm auth = yes“ öffnet man sein System für verschiedenste Angriffe. Klar können die Angriffe nur aus dem lokalen Netz kommen, aber 80% aller Angriffe kommen aus dem lokalen Netz. Es gibt teilweise alte Multifunktionsgeräte die beim scannen die Dokumente auf einem Samba-share ablegen können und da immer noch NTLMv1 verwenden. Entweder ersetzt man die Geräte oder man verwendet einen eigen Server der NTLMv1 unterstützt für diese Geräte, aber für das normal Login eines Clients oder zur Verbindung an einen Fileserver sollte das Protokoll nicht mehr verwendet werden.
By Robert Hunger 18. April 2019 - 11:53
Dann müsste es ja langen wenn die Windows Clients die Netzwerksicherheit: LAN Manager-Authentifizierungsebene „Nur NTLMv2-Antworten senden. LM & NTLM verweigern“ über die GPO zugewiesen bekommen. Und das die ntlm auth bleibt auf der Defaulteinstellung ?
ntlm auth = no
By Karl-Heinz 13. Juli 2018 - 12:33
Hallo Stefan,
ich habe bereits beide Samba 4 Bücher von Ihnen gelesen. Die waren echt super geschrieben und haben mir schon sehr viel geholfen.
Doch nun habe ich folgendes Problem.
Vor einiger Zeit haben wir nach der Anleitung in ihrem ersten Buch mit Debian 7 und den SerNet-Paketen einen AD erstellt. Das hat auch einwandfrei und ohne Probleme funktioniert. Jetzt wollten wir die Gruppenrichtlinien benutzen und da haben wir festgestellt das irgendwo ein Bug vorhanden ist, sodass die Gruppenrichtlinien nicht funktionieren. Um diesen Bug zu umgehen, wollten wir jetzt mit Debian 9.4 einen neuen AD erstellen. Den sekundären Server haben wir auch schon auf Debian 9.4 aktualisiert und dort funktionieren die Gruppenrichtlinien auch. Das Problem liegt jetzt bei der Aktualisierung des primären Servers. Denn dieser muss nach der Aktualisierung auch wieder zum primären Server werden. Mit der richtigen IP-Adresse u.s.w., da wir sonst zu viele Probleme bekommen würden.
Haben Sie eventuell eine Idee wie man das Problem lösen kann?
Oder wissen Sie vielleicht sogar wie man den Bug entfernen kann?
Danke!
Mit freundlichen Grüßen
By Stefan 13. Juli 2018 - 19:44
Gruppenrichtlinien funktionieren seit der Version 4.6 sehr gut und ohne Fehler. Welchen Bug meinen Sie? Leider sind die Angaben zu wenig um irgendetwas dazu sagen zu können. Schreiben Sie mir doch mal ein Mail
By Karl-Heinz 19. Juli 2018 - 7:18
Hallo Stefan,
Der Bug wurde bei Debian unter der Nummer 742182 gemeldet.
Unser Plan ist es jetzt, alle Samba- und Windows Server herunterzufahren, außer den Active Directory Server. Dieser läuft zurzeit mit den SerNet Samba Paketen auf Debian 7. Nach der Sicherung der VM, wollen wir den AD-Server auf Debian 8 updaten und dann auf Debian 9. Im nächsten Schritt sollen Samba 4.8 Pakete aus Debian installiert werden, damit die Gruppenrichtlinien funktionieren. Müssen wir dabei noch etwas wichtiges beachten?
Danke für deine Hilfe!
Mit freundlichen Grüßen
Karl-Heinz
By sambix 5. März 2018 - 9:44
Hallo,
schade, dass es wohl keine neue Auflage des Buches geben wird. 🙁 Es ist sehr gut geschrieben und die Entwicklung bleibt (zum Glück) nicht stehen.
Auch wenn debian sehr vorsichtig mit neuen Versionen ist, kann schon samba 4.5.12 in stable genutzt werden.
Dazu nun die Frage: In Kapitel 15 werden Vertrauenstellungen behandelt und im Beispiel die Verbindung zweier samba-4-ADs beschrieben. Kann man auch einen samba4-AD und eine samba-4-NT-Style-Domain auf ähnliche Weise miteinander verbinden?
Zweite Frage: Kann ich in der neuen Version Filter zwischen einem Windows-AD und einem Samba-AD verwenden?
Dritte Frage: Kann ich auch einseitig vom samba-AD aus das Vertrauen zu einem Windows-AD aufbauen – ohne auf der Windows-Seite admin zu sein?
By Stefan 5. März 2018 - 17:59
Hallo,
ich bin mittlerweile einen Schritt weiter was die neue Auflage des Samba-Buchs angeht. Ich verhandle gerade mit einem anderen Verlag und da sieht gut aus 😉
Nun mal zu den Fragen:
1.) Das mit der NT-Style Domain sollte auch funktionieren, habe ich aber mit Samba 4 nicht mehr getestet.
2.) So wie ich das bis jetzt weiß geht das wohl noch nicht und wird (vielleicht) mit 4.9 kommen. Mehr dazu kann ich aber nach der SambaXP Anfang Juni sagen.
3.) Nein das geht nicht, beide Admins müssen da mitspielen.
By kirsche 26. Januar 2018 - 18:14
Hallo Stefan,
ich habe beide Auflagen von deinem Buch. Die haben mir als Hobbyadmin (Heimnetzwerk in einem 8 Personen Haushalt) schon viel geholfen.
Aktuell habe ich noch Debian 8 mit den Sernet Paketen 4.2 auf einem PDC und einem Fileserver laufen.
Ich würde gerne beide auf Debian 9 und die Debian Samba Pakete umsteigen. Sprich beide Server migrieren. Hast du einen Tipp wie man das am besten bewerkstelligt?
Danke und Grüße
Christian
By Stefan 27. Januar 2018 - 18:46
Die Sernet-Pakete gibt es nicht mehr kostenfrei. Deshalb würde ich einen zweiten AD aufsetzen die Datenbank replizieren und dann den alten aus der Domäne entfernen. Dann geht das auf jeden Fall.
By Freezeland 10. Januar 2018 - 9:43
Hallo
Ich habe einen Forest Trust aufbauen können wie Sie dies im Buch beschrieben haben.
Mir ist es bisher nicht gelungen eine Gruppe oder ein Benutzer der Fremd-Domäne B in eine Gruppe meiner Domain A hinzuzufügen.
Auf dem Wiki von Samba finde ich folgenden Link:
https://wiki.samba.org/index.php/FAQ#Trust_Support
-> You cannot add users and groups of a trusted domain into domain groups.
Wissen Sie ob es Möglichkeiten gibt, die Zugriffsberechtigungen auf meinen Shares der Benutzer und Gruppen der getrusteten Domäne B zu regeln?
Gruss Tom
By Freezeland 10. Januar 2018 - 9:55
Die Fehlermeldung die in den Windows Tool AD Tools erscheint, wenn ich versuche eine Gruppe der Fremddomäne in einen Share aufzunehmen oder ein Benutzer der Fremddomäne in eine Gruppe meiner Domäne versuche hinzuzufügen.
The Active Directory Domain Controllers required to find the selected objects in the following domains are not available: „Fremd Domäne“
By Stefan 10. Januar 2018 - 16:12
Leider ist die Entwicklung der Vertrauensstellung noch immer nicht abgeschlossen und das Einrichten von Vertrauensstellungen funktioniert im Moment nur rudimentär. Sie können die Benutzer zur Authentifizierung nutzen, sie aber keinen Gruppen in der vertrauten Domäne zuweisen. Wann es so weit sein wird, dass das funktioniert kann ich auch nicht sagen. Ich denke, auf der SambaXP im Mai werde ich mehr dazu erfahren.
By Stefan 10. Januar 2018 - 16:13
Leider klappt das im Moment auch noch nicht. Mit welcher Samba-Version das klappen wird, kann ich Ihnen leider im Moment noch nicht sagen.
By Freezeland 6. September 2017 - 16:01
Das Buch war mir bisher eine grosse Hilfe bei der Administration von SAMBA 4 AD.
Ich habe eine Frage bezüglich der Neuen Auflage mit den Vertrauensstellungen.
Folgende Ausgangslage. Ich möchte zwischen zwei Samba Domänen einen Trust einrichten Siehe Angaben zu den Domains.
Parameter Domäne 1 Domäne 2
OS: Ubuntu 16.04, Debian 9.1
DNS-Suffix example.net example.org
Realm EXAMPLE.NET EXAMPLE.ORG
NetBIOS-Domainname EXAMPLE EXAMPLE
ADDC-Name aaa.example.net bbb.example.org
IP-Adresse 192.168.56.220 192.168.1.10
Art des Nameservers intern intern
DNS-search example.net example.org
Ich habe wie dies Im Buch empfohlen ist ein DNS Proxy eingerichtet.
Die Host Einträge Sowie Namen aus dem Internet werden aufgelöst.
Kerberos Ticket mit kinit der Remote Domain funktionieren auch.
Ich hoffe ich liege falsch aber vermute das Problem liegt am gleichen „Workgroup“ Domain-Namen und daraus folgenden NETBIOS Name.
Lediglich das Suffix der beiden Domains unterscheiden sich voneinander durch .net und .org.
Wenn ich den Trust einrichten Will erhalte ich die Fehlermeldung:
Wenn mir jemand einen Tipp hätte wäre ich sehr dankbar.
Fehler:
Error: CreateTrustedDomainEx2 failed remotely – cleaning up
ERROR: REMOTE_DC[bbb.example.org]: CreateTrustedDomainEx2 – ERROR(0xC00002E9) – This operation cannot be performed on the current domain.
host aaa.example.net -> OK
host bbb.example.org -> OK
host -t SRV _kerberos._tcp.aaa.example.net -> OK
host -t SRV _kerberos._tcp.bbb.example.org -> OK
Wenn ich jedoch ein Domain Trust einrichten will schlägt es mit folgendem Fehler fehl:
samba-tool domain trust create example.org –type=forest –direction=both –create-location=both -U administrator@EXAMPLE.ORG
LocalDomain Netbios[EXAMPLE] DNS[example.net] SID[S-1-5-21-1870127889-1498535674-2908421376]
RemoteDC Netbios[bbb] DNS[bbb.example.org] ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6]
Password for [administrator@example.org]:
RemoteDomain Netbios[EXAMPLE] DNS[example.org] SID[S-1-5-21-4131025968-516464027-3087429944]
Creating remote TDO.
Error: CreateTrustedDomainEx2 failed remotely – cleaning up
ERROR: REMOTE_DC[bbb.example.org]: CreateTrustedDomainEx2 – ERROR(0xC00002E9) – This operation cannot be performed on the current domain.
By Stefan 7. September 2017 - 9:13
Hallo,
ein Trust wird immer zwischen zwei verschiedenen Domänen aufgebaut, wobei sich das „verschieden“ auf den NetBIOS-Namen bezieht. Der ist immer der erste Teil aus dem DNS-Name. Also bei example.org und example.net ist der Domänenname immer „example“. Deshalb ist es auch empfehlenswert nicht mit zwei unterschiedlichen TLD-Namen zu arbeiten sondern es z.B. so zu machen site1.example.net und site2.example.net dann ist der NeBIOS-Name einmal „site1“ und bei der anderen Domäne „site2“.
Weiterhin sollten Sie darauf achten, dass Sie auf jeden Fall die aktuellste Samba-Version verwenden. Denn die Verwendung von Trusts steckt noch in der Entwicklung und daher sind die Versionen von z.B. Debian doch sehr alt. Entweder Sie bauen den Samba aus den Quellen selber, oder Sie verwenden die SerNet-Pakete.
Vielen Dank, dass Ihnen mein Buch gefällt und Sie damit gut zurecht kommen. Achten Sie bitte auf die im Buch beschriebenen Einschränkungen hinsichtlich der Vertrauensstellungen.
By krueuw 25. Juli 2015 - 13:15
Ich habe vor Samba 4.2 mit AD ab kommenden Schuljahr als Ersatz für einen w2k3-Server einzusetzen. Das Buch war mir bisher eine große Hilfe 🙂 Ein Kapitel für das Userskripting (1500 potenzielle) Benutzer hätte ich auch gerne. Wie legt man z.B. per Linux-Skript, bevor man User hinzufügt, eine passende OU an, ohne mit ldif-Dateien arbeiten zu müssen? Muss man sich eine neues Ebook kaufen oder wird es (kostenpflichtige) Updates geben? Eventuell kann ich ja meine Hilfe als Tester anbieten 😉
Zum Thema uid: Wir haben Benutzernamen .. einheitlich für alle Dienste der Schule. Seit Windows7 geht das nun nicht mehr, weil W7 ums Verrecken nicht mehr als 20 Zeichen akzeptiert. ich schneide nun einfach bei 20 Zeichen ab und habe vor, in der uid den vollen Namen zu speichern und später als Anmeldequelle für die Webdienste zu benutzen.
Mein Hauptproblem ist aber im Moment die Wahl der Version 4.2 statt wie im Buch 4.1 (sicher ein Fehler). Die Anpassung der /etc/nsswitch.conf
auf Seite 48 (mit Doppelpunkten?):
passwd: compat winbind
group: compat winbind
shadow: compat winbind
führt nicht dazu, dass die Domänengruppen mit „getent group“ angezeigt werden. Zunächst hatte das wenig Nebenwirkungen, bis man die Registrierung mit „net rpc registry enumerate HKLM\software\samba\
smbconf\users\ -Uadministrator -S samba4-1.example.net“ lesen will. Dann klappt die Zuordnung des Benutzers administrator nicht. Was kann ich in diesem Fall sinnvoll tun?
By Stefan 25. Juli 2015 - 14:01
In der nächsten Auflage des Buches wird es ein eigenes Kapitel zum Thema skripting mit dem Kommando „samba-tool“ und dem Kommando „net“ geben. Da es mit Samba 4.2 sehr viel mehr Möglichkeiten gibt als mit der Samba 4.1 Version die ich für das Buch verwendet habe. Wenn Sie einfach mal „samba-tool user –help“ eingeben, dann sehen Sie, wie Sie Benutzer gleich in einem bestimmten Container anlegen können. Bei den Namen sollte der vollständige Name auf jeden Fall in dem CN-Attribut abgelegt werden. Das UID-Attribute kann auch dafür genommen werden, wäre dann aber eventuell auch der Anmeldename für Linux-Maschinen und wenn dann Leerzeichen im Namen sind ist das nicht so schön.
Sie sollten auf jeden Fall die 4.2 nutzen, da mit dieser Version einige Änderungen vorgenommen wurden die sehr hilfreich sind, siehe „samba-tool“. Für die User und Gruppen sollten Sie bei einer großen Menge an Benutzer immer „winbind enum users/groups= no“ wählen, da gerade bei vielen Benutzern die Auflösung der IDs recht aufwendig ist. Das Problem mit der Registry kann ich jetzt so gar nicht nachvollziehen. Da würde es Sinn machen, wenn Sie mir das Ergebnis per Mail schicken. Ich schaue mir das dann gerne mal an.
By adrian 28. Juli 2015 - 11:02
Ich möchte mich der Frage von krueuw anschliessen. Auch bei mir funktioniert „getent group“ und „getent passwd“ nach der Anpassung von /etc/nsswitch.conf nicht. Daraus resultiert dass z.B. Quota für die Homeverzeichnisse und das public-html nicht funktioniert, da dem System die User nicht bekannt sind.
Unserer Server ist eine VM, bereitgestellt durch das Rechenzentrum, die Freigaben und Homeverzeichnisse sind auf dem Domaincontroller eingerichtet.
Meine Vermutung ist, dass dann das System als Linux-Client in die Domäne aufgenommen werden müsste. Ist das möglich? Wenn ja, wie sieht die Konfiguration aus?
PS: Unter unserer vorherigen Konstellation mit Samba 3 und OpenLDAP war das problemlos möglich.
By Stefan 28. Juli 2015 - 11:44
Damit ein Linux-Client die Benutzer aus der Domäne importieren kann, muss der Linux-Client auf jeden Fall Mitglied der Domäne sein. In meinem Samba 4 Buch habe ich diesen Vorgang genau beschrieben. Das hier zu beschreiben würde den Rahmen sprengen. Im Wiki des Samba-Teams steht beschrieben wie ein Member-Server in die Domäne aufgenommen werden muss. Der Vorgang für einen Client ist identisch, nur das der Client später keine Freigaben bereitstellt. Hier mal der Link domain-member
By adrian 28. Juli 2015 - 13:13
Danke für die schnelle Antwort!
Im Buch ab Seite 158 ist die Einbindung eines Linux-Clients, der sich auf einer anderen Maschine befindet, beschrieben. In meinem Fall jedoch soll sich der Linux-Client direkt auf dem AD DC authentifizieren. Mein Verständnisproblem liegt jetzt darin, dass die smb.conf ja schon dahingehend als AD DC + Fileserver konfiguriert ist.
By Driessen 1. Oktober 2016 - 12:02
da gibt es scheinbar einen Zeitkomponente
Änderung an nsswitch + ldconfig zum einlesen bewirkt nicht das die Daten sofort bereitstehen
ich hab den fehler gesucht aber nicht gefunden
neustart Samba keine Änderung
evtl. empfielt sich hier auch nach der Configuration einen kompletten neustart durchzuführen
nach ca. 15 minuten nochmaligem aufruf „getent group | grep -i Domain“ werden dann auch die Domaingroups gelistet
Ubuntu xenial
By maxprox 27. Juni 2015 - 13:50
Nun hat sich ja zum Glück mein Problem -siehe mein Post vom 22.05- mit Jessie und nicht vorhandenen SerNet Paketen erledigt, seit etwa einer Woche gibt es nun welche (Vers.4.2.2) klasse!
Bei meinem bisherigen Einsatz in einer Testumgebung, unter der Leitung des Buches, konnte ich nun Installation und Einrichtung im Wesentlichen 1:1 umsetzen.
Nur ein kleiner Hinweis: die Option „-use-rfc2307“ beim Erzeugen der Domäne, hätte auch auf S.34 erwähnt werden sollen, nicht erst auf S.172 mit dem Hinweis „Eine nachträgliche Umstellung ist nicht möglich“ 😉
Aber -wie ich oben schon schreibe- für mich und mein Adminalltag ist das Buch sehr wertvoll, ich habe schon viel neues über Samba (4) gelernt – Danke dafür!
By Stefan 27. Juni 2015 - 21:42
Das hört sich ja gut an. Ja ich weiß, die Pakete gibt es endlich auch für Jessie. Es wird dann jetzt hoffe ich auch bald ein Umstellung auf systemd kommen und die LSB-Skripte bei den Sernet-Paketen verschwinden.
Wenn du die rfc-Erweiterung unbedingt haben möchtest, kannst du das schon nachinstallieren im Wiki steht dazu ein Howto. Wobei ich noch nie verstanden habe warum das jemand haben will. Doppelte Pflege von IDs (SID) und (UID/GID). Ich habe das mit bestehen IDs auf Dateisystemrechten nach der Umstellung auf SID und dem Backend RID über ein Skript mit ein paar Zeilen „find“ gelöst und dann brauche ich die alten UIDs nicht mehr und alles ist gut ;-).
In der nächsten Auflage wird wohl auf vielfachen Wunsch der Leser ein Kapitel zum Thema Skripte mit „samba-tool“ und „net“ dazu kommen, da werde ich das Thema dann auch noch mal aufgreifen.
Es freut mich wenn dir das Buch gefällt.
By maxprox 22. Mai 2015 - 19:48
Seit langem wieder einmal ein Buch, dass ich so richtig durcharbeite parallel an einem Debian Jessie System mit offenem LibreOffice, in das ich die für mich wichtigsten Infos zusammenschreibe….
Dazu eine Frage: Das Buch bezieht sich ja sehr exakt auf die Kombi Debian Wheezy in Verbindung mit den SerNet Paketen. Nun möchte ich nicht mehr mit Wheezy einsteigen sondern dem aktuellen Nachfolger Jessie, wo per default Samba4 in den Paketquellen drin ist (zZ Mai 2015 vers. 4.1.17). Um hier mit den Befehlen und Infos des Buchs arbeiten zu können, sind einige Anpassungen nötig (Network-manager – dnsmasq auf Port 53, winbind und die Befehle wbinfo, das Kommando ldbsearch hab ich zZ noch gar nicht).
SerNet Pakete für Jessie gibt’s noch keine. Also wäre es eine super Sache, wenn wenn du ein kurzes HowTo schreiben könntest, wie die Anleitungen des Buches unter Jessie umzusetzten sind, bzw. welche Anpassungen nötig sind.
Ansonsten super Buch! UND Samba4 wird die Arbeit eines Admins dessen Clients überwiegend aus Windows Kisten bestehen deutlich und nachhaltig verändern und verbessern!
By Stefan 22. Mai 2015 - 21:51
Danke erst einmal für das Feedback zum Buch. Das Problem mit Jessie ist, dass Jessie komplett mit systemd arbeitet und LSB-Skripte nicht mehr verwendet werden sollen. Ich habe auf der SambaXP mit den Entwicklern und den Leuten von SerNet gesprochen. Die Pakete für Jessie müssen erst noch alle auf systemd umgestellt werden, dann wird es auch die Pakete zu 4.2 bei SerNet auf der Seite zu Jessie geben.
Die Debian-Pakte scheinen ja nicht vollständig zu sein, denn ldbsearch gehört zum Samba-ad auf jeden Fall dazu. Leider habe ich es bis jetzt noch nicht geschafft Samba 4 auf Jessie zu installieren. Sobald ich die Zeit habe, wahrscheinlich erst in einer oder zwei Wochen werde ich mir Jessie mit den eigenen Paketen man anschauen und hier mal etwas dazu schreiben. Dann aber wohl erst zu den eigenen Paketen und später dann zu den SerNet-Paketen. Da wird 4.2 einfach viel interessanter, denn da sind dann auch die CTDB-Pakete dabei. Ich weiß nicht, ob Debian mit Jessie überhaupt auf 4.2 gehen wird. Schön wäre es.
Stimmt die ganze Sache mit der Administration und der Verwaltung der Clients ist mit Samba 4 recht einfach geworden. Ich habe bei Kunden sogar schon Samba 4 als Authentifizierung eingerichtet, obwohl die nur Linux-Clients verwenden.
Den Network-Manager nehme ich immer raus auf einem Server und verwalte das ganze statisch.
Wbinfo gehört zum Winbind sollte also auch funktionieren. Für Fragen rund um Samba kann ich immer wieder die Mailingliste des von samba.org empfehlen.
By Stefan 30. März 2015 - 14:01
Zum Thema Schemaerweiterung, da gibt es das Problem, dass es immer AD-konform stattfinden muss. Leider gibt es noch keine Schemata für DHCP-Server.
Das Problem mit der bereits bestehenden openLDAP-Infrastruktur kenne ich auch. Der LDAP im AD benötigt aber sehr viele Funktionen, die ein openLDAP so nicht bieten kann, deshalb wurde ein eigener LDAP entwickelt und eingebunden. Es wird auch mittelfristig keine Möglichkeit geben den internen LDAP gegen openLDAP auszutauschen.
Natürlich kann ein ADDC auch gleichzeitig Fileserver sein, nur gibt es da mit den Linux-Clients die Probleme hinsichtlich des ID-Mappings, das ist der Hauptgrund für die Trennung von AD und Fileserver. Am einfachsten wäre hier wirklich eine Virtualisierung mit vmware ESXi. Diese Lösung ist kostenfrei einsetzbar und sehr schnell zu realisieren und mit einem geringen Zeitaufwand zu erlernen.
Fragen zu Samba4 kann man am besten über die Mailingliste https://lists.samba.org/mailman/listinfo/samba erhalten. Dort sind neben Anwendern auch die Entwickler aktiv.
Danke für die Weiterempfehlung meines Buches.
By kirmse 30. März 2015 - 13:15
Habe das Buch „Samba 4“ bei Thalia gekauft. Es ist sehr verständlich geschrieben und wird mir bei der geplanten Aktualisierung unseres Schulservers sicherlich helfen. Ich finde die Darstellung der Verwaltung auf der Kommandozeile, über RSAT (also Windows) und über LAM (Webinterface) nachvollziehbar und ausgewogen.
Allerdings verwalten wir derzeit in unserem OpenLDAP auch feste IPs und steuern damit u.a. den raumweisen Internetzugang. Leider finde ich keine Hinweise dazu, wie man den LDAP von Samba4 für DHCP nutzen kann (Schema einbinden, Struktur erstellen, Server anbinden). Das Beispiel mit Zarafa scheint für mich nicht übertragbar.
Auch die Quotas (nur Userquotas) verwalten wir derzeit über unseren OpenLDAP. Das wir eigene Scripte dazu verwenden, um diese umzusetzen ist sicherlich nebensächlich. Aber für uns ist es viel wert, dass wir alle Nutzerdaten, genauer Nutzerattribute, über eine einheitliche Schnittstelle (Net::LDAP) bzw. eine einheitliche Oberfläche (derzeit PhpLdapAdmin) verwalten können. Insofern hätte ich mir Hinweise für die Erweiterung des LDAPs von Samba4 gewünscht.
Noch ein Wunsch wurde eigentlich erst durch das Buch „erzeugt“. Im Buch wird angegeben, dass es gerade bei Nutzung von Linux-Clients sinnvoll ist, einen Server als AD und einen zweiten Server als Fileserver zu implementieren. Nun haben wir in unserer Schule nur ein kleines Netz mit 2 Räumen mit je 15 Rechnern und einzelne Rechner im Lehrerzimmer und in den Vorbereitungsräumen, also weniger als 40 Rechner. Wir haben einen relativ neuen leistungsstarken Server, für einen zweiten Server steht kein Geld zur Verfügung. Für Samba3 gibt es die Möglichkeit 2 Instanzen von Samba einzurichten, was uns testweise auch schon gelang. Da wir gerade wegen dem chronischen Geldmangel der Schulen auch Linux-Clients anvisieren, wäre die Implementation von 2 Instanzen, eine als AD und die andere als Fileserver, eigentlich die logische Konsequenz. – Natürlich wäre auch Virtualisierung eine Möglichkeit, aber damit kenne ich mich nicht aus und schafft zudem deutlich mehr Komplexität und raubt Performance.
Vielleicht läßt sich die eine oder andere hier angegebene Fragestellung z.B. über einen Blogbeitrag beantworten. Vielleicht gibt es ja auch ein deutschprachiges Forum, wo diese Fragen beantwortet werden (könnten). Informationen zu solchen möglichen Hilfen zu Samba4 habe ich leider auch im Buch nicht gefunden.
Unabhängig davon, das Buch ist insbesondere als erstes deutschsprachige Buch zu Samba4 sehr hilfreich und ich werde dieses Buch auf jeden Fall weiter empfehlen.