Neues openLDAP Advanced Seminar

Posted on 10. Dezember 2017 by Stefan

Ich habe ein neues Seminar als Aufbauseminar zum openLDAP entworfen. Das Seminar baut auf die Inhalte des ersten openLDAP-Seminars auf und vertieft bekannte Techniken und erklärt neue Techniken. Das Seminar ist für Sie interessant, wenn Sie bereits openLDAP einsetzen und Sie gerne Teile der Administration automatisieren wollen.

Posted in Allgemein | Leave a comment

Keine Neuauflage des Samba-Buchs mehr

Posted on 7. November 2017 by Stefan

Leider wird es wohl keine neue Auflage meins Samba-Buchs geben. Die Verkaufszahlen sind zu schlecht und eine weitere Auflage könnte nicht kostendeckend erstellt werden. Ich habe noch eine Menge Ideen für eine weitere Auflage, mal sehen wie ich das eventuell doch noch realisieren kann.

Posted in Allgemein, Samba | Leave a comment

Debian stretch und Zertifikate

Posted on 29. Oktober 2017 by Stefan

Beim einrichten eines openLDAP-Servers zusammen mit TLS-Verschlüsselung habe ich folgende Änderung zu den vorherigen Debian-Versionen festgestellt:

Beim erstellen des Requests mit dem Skript CA.pl werden die Dateisystemberechtigungen nicht mehr wie früher auf 644 für die Datei newkey.pem gesetzt, sondern auf 600. Da die Datei dem Benutzer root gehört, kann der openLDAP-Server (der unter der Kennung openldap läuft), nicht mehr auf diese Datei zugreifen. Sie müssen daher nach der Erstellung der Zertifikatsdateien unbedingt dafür sorgen, dass die Gruppe openldap das Leserecht an allen benötigten Dateien besitzt.

Posted in Allgemein | Leave a comment

Update eines ADDC auf Debian Stretch

Posted on 22. Oktober 2017 by Stefan

Wenn Sie einen Debian Domaincontroller von Debian 8 auf Debian 9 updaten wollen, müssen Sie daran denken, dass die Version des Bind9 Nameservers sich von der Version 9.9 auf 9.10 ändert. Wenn Sie als Nameserver den Bind verwenden, müssen Sie die Version in der Datei /var/lib/samba/private/named.conf anpassen. Verwenden Sie den Samba internen Nameserver, müssen Sie keine Änderungen vornehmen. Das Update von Debian 8 auf Debian 9 läuft problemlos.

Wenn Sie die Änderung vergessen, wird der Samba-Dienst zwar gestartet, genau wir der Bind9, aber eine Namensauflösung funktioniert nicht. Erst wenn Sie die Datei /var/lib/samba/private/named.conf angepasst haben, wird die Namensauflösung und damit auch alle Dienste des Domaincontrollers wieder verfügbar sein.

Posted in Allgemein, Samba | Leave a comment

Debian stretch als Active Directory-Domaincontroller starten

Posted on 16. Juli 2017 by Stefan

Bei Debian stretch gibt es eine Änderung wenn Sie einen Active Directory-Domaincontroller starten möchten. Nach der Installation ist immer nur der Mitgliedsserver mit den Diensten „smbd“, „nmbd“ und „winbind“ aktiv. Da Sie diese Dienste aber so nicht benötigen, müssen Sie erst dafür sorgen, dass diese Dienste dauerhaft abgeschaltet sind, und das der „samba-ad-dc“-Dienst gestartet wird. Dazu benötigen Sie die folgenden Kommandos:

systemctl stop smbd nmbd winbind

systemctl disable smbd nmbd winbind

systemctl unmask samba-ad-dc

systemctl start samba-ad-dc

systemctl enable samba-ad-dc
Posted in Samba | Leave a comment

Debian Stretch und copy&paste im vim

Posted on 3. Juli 2017 by Stefan

Jetzt habe ich meine ersten Erfahrungen mit dem neuen Debian9 (Stretch) gemacht. Dabei ist mir eins sofort unangenehm aufgefallen, im vim kann man kein copy&paste mit der Maus ausführen. Aber es gibt eine Lösung:

In der Datei /etc/vim/vimrc.local müssen die folgenden Zeilen eingetragen werden, dann klappt es auch mit copy&paste:

set mouse =

set ttymouse =
Posted in Allgemein | Leave a comment

Samba-Linux-Client und pam-mount

Posted on 9. Juni 2017 by Stefan

Immer wieder gibt es Probleme smb-Freigaben über pam-mount in einen Linux-Client einzubinden, wenn Kerberos verwendet werden soll. Da in einem Active Directory Kerberos aktiv ist, will man die Authentifizierung beim Mounten auch gerne über Kerberos absichern. Dank der unermüdlichen Suche von Heinz Allerberger, einem ehemaligen Teilnehmer einer Samba4-Schulung, kann ich jetzt hier eine Lösung präsentieren, die immer funktioniert.

<volume

fstype="cifs" 

server="fs01.example.net"
 
path="home/%(DOMAIN_USER)" 

mountpoint="/home/EXAMPLE/%(DOMAIN_USER)" 

options="sec=krb5,cruid=%(USERUID)" />

Wichtig ist die Option cruid=%(USERUID), erst durch diese Option kann der Kerberos-Principal des Benutzers ausgewertet werden.

Posted in Samba | Leave a comment

SambaXP 2017

Posted on 17. März 2017 by Stefan

Vom 02.05.2017 bis zum 04.05.2017 ist es wieder so weit, die SambaXP findet statt, dieses mal wieder in Göttingen. Hier kann jeder mit den Entwicklern und anderen Administratoren Erfahrungen austauschen und in den Vorträgen das Neueste über die Entwicklung von Samba 4 erfahren:

Wie ist der Stand der Dinge bei den Vertrauensstellungen
Wie weit ist die Python3 Implementierung
Wann kommt der Samba4 ADDC mit dem MIT-Kerberos

Um nur ein paar Themen zu nennen. Die Konferenz richtet sich nicht nur an Entwickler sonder auch an Administratoren, die auf dem aktuellen Stand der Entwicklung bleiben wollen.

Am 02.05.2017, dem ersten Tag der Konferenz, werde ich ein Tutorial durchführen zum Thema:

Creating a Samba 4 Active Directory with DDNS

Im Tutorial werde ich mit den Teilnehmern eine Active Directory mit zwei ADDCs mit Bind9 aufbauen. Zusätzlich wird ein isc-dhcp-server mit failover Funktion eingerichtet.

Posted in Samba | Leave a comment

vfs-Modul für Gluster in den SerNet-Paketen

Posted on 4. Januar 2017 by Stefan

In Zukunft wird das glusterfs vfs-Modul in den SerNet-Paketen für Samba enthalten sein. Es wird über ein eigenständiges Paket „sernet-samba-vfs-glusterfs“ bereitgestellt werden. Jetzt kann beim Einsatz von Gluster native auf das Volume zugegriffen werden, ohne ein fuse-mount einrichten zu müssen.
Ich habe in meinem „CTDB Howto“ diese Funktion schon eingebaut. Zusätzlich habe ich dort die Einrichtung des vfs-Moduls „shadow_copy2“ und „recycle“ beschrieben.

Posted in Samba | Leave a comment

GlusterFS mount-Bug unter Debian

Posted on 26. Dezember 2016 by Stefan

Da es bei Debian (und somit auch unter Ubuntu) einen Bug gibt, der dazu führt, dass Gluster-Dateisysteme beim Systemstart nicht ordnungsgemäß gemountet werden, habe ich hier ein Lösung dafür. Für den Systemd können verschiedene Targets erstellt werden, darunter auch ein target.mount. Über so eine Target lässt sich ein Dateisystem beim Systemstart mounten. Ein Eintrag in der /etc/fstab wir dann nicht mehr benötigt. Angenommen es soll ein Gluster-Volume (gv1) nach /glusterfs gemountet werden, dann muss eine Target-Datei /etc/systemd/system/glusterfs.mount erstellt werden.

Der Name muss identisch zum Mountpoint sein!
Hier sehen Sie die neue Version die auch funktioniert, wenn kein Knoten mehr aktiv ist.

Der Inhalt der Datei sieht dann so aus:

[Unit]

Description = Data dir

After=network.target glusterfs-server.service

Required=network-online.target



[Mount]

RemainAfterExit=true

ExecStartPre=/usr/sbin/gluster volume list

ExecStart=/bin/mount -a -t glusterfs

Restart=on-failure

RestartSec=3

What=master-01:/gv0

Where=/glusterfs

Type=glusterfs

Options=defaults,acl



[Install]

WantedBy=multi-user.target

Jetzt muss das Target noch mit systemctl enable glusterfs.mount aktiviert werden. Nach einem Neustart ist das Gluster-Dateisystem dann automatisch gemountet.

Posted in Allgemein, Samba | Leave a comment