Kleines Howto

Ich habe mal ein kleines Howto erstellt, mit dem zwei Samba 4 Domaincontroller, zusammen mit Bind9 als DNS-Server, eingerichtet werden können. Alle verwendeten Kommandos sind aufgelistet. Viel Spaß beim Ausprobieren

Posted in Allgemein | Leave a comment

ldb-tools nach Badlock

Viele Samba-Nutzer erhalten nach dem Update auf einem wegen des badlock-Bug gepatchten Systems Fehlermeldungen beim Zugriff auf die Datenbank mit den ldb-tools. Dabei spielt es keine Rolle, ob Sie den Zugriff über ldaps:// oder ldap:// durchführen. Um dieses Problem zu lösen gibt es zwei verschiedene Lösungen:
1. Sie passen die Datei smb.conf auf Ihrem Domaincontroller dahingegen an, dass Sie die Überprüfung und Sicherheit die durch den Patch eingespielt wurden abschalten, dass können Sie über die Parameter:
– tls verify peer = no_check
– ldap server require strong auth = no
Dabei werden die RPC-Zugriffe zwar immer noch über TLS abgesichert, aber die Zertifikate werden nicht ausreichend auf Gültigkeit geprüft. Alles funktioniert anschließend so wie Sie es gewöhnt sind.

2. Sie verwenden nur noch Kerberos für die Authentifizierung zusammen mit ldap://. Ja, ein Zugriff über ldap:// zusammen mit einer Authentifizierung und Verschlüsselung mit Kerberos ist sicherer als der Zugriff über ldaps:// mit Zertifikaten. Für den Zugriff müssen Sie sich lediglich mit „kinit“ ein Ticket ziehen und dann bei der Verwendung der ldb-tools den Parameter „-k yes“ verwenden. Ein ldbsearch würde dann wie folgt aussehen:
– kinit administrator
– ldbsearch -H ldap://addc.example.net „cn=username“ -k yes
Jetzt wird die Authentifizierung und Verschlüsselung mit Kerberos durchgeführt, ein „Man in the middle“-Angriff wird dabei nicht mehr möglich sein.

Ich hoffe dieser kleine Tipp hilft Betroffenen weiter. Mehr zu der Thematik badlock finden Sie hier

Posted in Samba | Leave a comment

Schwere Sicherheitslücke in Windows und Samba

Stefan Metzmacher vom Samba-Team hat eine schwere Sicherheitslücke gefunden, die sowohl Windows als auch Samba betrifft. Am 12. April wird ein Patch für diese Lücke erscheinen. Erst dann wird auch genau beschrieben worum es bei der Sicherheitslücke geht.

Das Samba-Team arbeitet dabei eng mit den Microsoft-Entwicklern zusammen um das Problem zu lösen. Für die Samba-Versionen 4.2, 4.3 und 4.4 (die gerade erschienen ist) wird es Patches geben. Alle Versionen davor werden NICHT mehr mit Sicherheitsupdates ausgestattet. Für den „Badlock Bug“ wurde extra eine Webseite eingerichtet. Hier werden immer die aktuellsten Informationen zu dem Bug bekannt gegeben.

Posted in Samba | Leave a comment

SambaXP 2016

Im Mai ist es wieder soweit, die SambaXP findet statt. Mit einer großen Änderung: Dieses Mal findet die SambaXP nicht in Göttingen statt, sondern in Berlin. Auch dieses Mal werde ich wieder den ersten Tag mit einem Tutorial gestalten. Es geht dabei um das Thema Active Directory-Administration und das Einrichten von Domain-Trusts. Was ist da schon möglich und was geht noch nicht?

Posted in Samba | Leave a comment

SerNet-Pakete nicht mehr kostenlos,was nun?

Mit der neuen Version 4.3 hat SerNet die kostenlose Bereitstellung der Samba-Pakete eingestellt. Die Pakete bis zur Version 4.2 werden auch weiterhin über die bekannte Adresse kostenlos bereitgestellt, solange die Versionen supportet werden.

Aber was kommt dann?
Selbstverständlich bleibt Samba open Source. Die Pakete bleiben Bestandteil der Distributionen und auch die Quellen der ganz aktuellen Versionen bleiben open Source. Wenn Sie aber die absolut aktuellste Version nutzen möchten, dann bleibt immer der Weg die Pakete selbst zu bauen. Eine Anleitung dazu finden Sie im Wiki des Samba-Teams.

Was passiert mit meinem Buch?
Es wird im kommende Jahr eine neue Auflage geben. Wahrscheinlich dann mit dem Ubuntu-Server 16.04. Denn da wird (hoffe ich doch) Samba 4.3 enthalten sein. Auch überlege ich, entgegen meiner sonstigen Einstellung, ein Kapitel zu schreiben in dem beschrieben wird, wie Sie Samba 4 aus den Quellen selber bauen können.

Für den produktiven Einsatz in Firmen sind die SerNet-Pakete auf jeden Fall eine gute Lösung, denn diese werden immer weiter gepflegt und auch ein update auf neue Versionen ist damit immer gewährleistet.

Posted in Samba | Leave a comment

Samba 4.3 ist pünktlich erschienen

Seit heute ist Samba 4.3 zum Download freigegeben. Die in meine Augen wichtigsten Neurungen sind die Unterstützung von trusted Domains und trustedd Forests. Damit können jetzt Vertrauensstellungen zwischen Domänen und sogar Bäumen erstellt werden.

Eine weitere wichtige Neuerung ist die vollständige Verwaltung aller sieben FSMO-Rollen auch die letzten beiden Rollen werden jetzt unterstützt und können auf einen anderen DC verschoben werden.

 

Posted in Allgemein | Leave a comment

Tutorial auf der SambaXP 2015

Gestern war der erste Tag auf der SambaXP. Der Tag der Tutorials. Mein Tutorial zum Thema Samba 4 mit CTDB auf GlusterFS war mit 10 Teilnehmern gut besucht und ein großer Erfolg. Die Folien und die Unterlage des Tutorials stelle ich, wie immer, hier auf der Webseite zur Verfügung.

Posted in Allgemein, Samba | Leave a comment

SambaXP 2015

Vom 19.05.2015 bis 21.05.2015 ist es wieder so weit, die SambaXP findet statt! Mit vielen interessanten Beiträgen und Tutorials. Auch dieses Jahr werden ich dort wieder ein Tutorial durchführen. Dieses Mal geht es einen ganzen Tag um die Einrichtung und Verwaltung eines Samba 4 Clusters mit GlusterFS und CTDB.

Die Konferenz ist nicht nur für Entwickler interessant, sondern auch für Administratoren die entweder schon Samba in ihrem Netzwerk einsetzen oder den Einsatz von Samba planen. Da auf der Konferenz auch viele Entwickler anwesend sind, bleibt natürlich auch neben der Konferenz immer Zeit für Fragen rund um das Thema Samba.

Posted in Samba | Leave a comment

Neue Kurse zu CTDB

Eine große Neuerung bei Samba 4.2 ist die Integration von CTDB in den Samba-Paketen. Jetzt ist es möglich, einen Samba 4-Cluster mit einfachen Mitteln aufzubauen, ohne zusätzliche Pakte installieren oder kompilieren zu müssen. Zusammen mit GlusterFS lassen sich auch größere Datenmengen in einer HA-Lösung bereitstellen. Zu diesem Thema gibt es jetzt auch einen neuen Kurs bei der Heinlein-Akademie. Als Erweiterung wird gleich ein Kurs zur Umstellung von GlusterFS auf Ceph angeboten.

Posted in Samba | Leave a comment

Samba 4.2 ist erschienen

Seit heute ist es so weit! Die erste Finale Version von Samba 4.2 ist erschienen. Sie kann ab sofort auf www.samba.org heruntergeladen werden. Mit diesem Tag wird Samba 3.x nicht weiter gepflegt, deshalb sollte spätestens jetzt ein Update auf Samba 4 stattfinden. Bei der Version 4.2 hat sich einiges in den Bereichen Winbind und Netlogon getan. Hier wurden einige alte Protokolle zur Authentifizierung deaktiviert. Deshalb ist es besonders wichtig die Release Notes zu lesen, bevor ein Update durchgeführt wird.

Posted in Allgemein, Samba | Leave a comment