In Zukunft wird das glusterfs vfs-Modul in den SerNet-Paketen für Samba enthalten sein. Es wird über ein eigenständiges Paket „sernet-samba-vfs-glusterfs“ bereitgestellt werden. Jetzt kann beim Einsatz von Gluster native auf das Volume zugegriffen werden, ohne ein fuse-mount einrichten zu müssen.
Ich habe in meinem „CTDB Howto“ diese Funktion schon eingebaut. Zusätzlich habe ich dort die Einrichtung des vfs-Moduls „shadow_copy2“ und „recycle“ beschrieben.
vfs-Modul für Gluster in den SerNet-Paketen
GlusterFS mount-Bug unter Debian
Da es bei Debian (und somit auch unter Ubuntu) einen Bug gibt, der dazu führt, dass Gluster-Dateisysteme beim Systemstart nicht ordnungsgemäß gemountet werden, habe ich hier ein Lösung dafür. Für den Systemd können verschiedene Targets erstellt werden, darunter auch ein target.mount. Über so eine Target lässt sich ein Dateisystem beim Systemstart mounten. Ein Eintrag in der /etc/fstab wir dann nicht mehr benötigt. Angenommen es soll ein Gluster-Volume (gv1) nach /glusterfs gemountet werden, dann muss eine Target-Datei /etc/systemd/system/glusterfs.mount erstellt werden.
Der Name muss identisch zum Mountpoint sein!
Hier sehen Sie die neue Version die auch funktioniert, wenn kein Knoten mehr aktiv ist.
Der Inhalt der Datei sieht dann so aus:
[Unit]
Description = Data dir
After=network.target glusterfs-server.service
Required=network-online.target
[Mount]
RemainAfterExit=true
ExecStartPre=/usr/sbin/gluster volume list
ExecStart=/bin/mount -a -t glusterfs
Restart=on-failure
RestartSec=3
What=master-01:/gv0
Where=/glusterfs
Type=glusterfs
Options=defaults,acl
[Install]
WantedBy=multi-user.target
Jetzt muss das Target noch mit systemctl enable glusterfs.mount aktiviert werden. Nach einem Neustart ist das Gluster-Dateisystem dann automatisch gemountet.
Ubuntu sichert Bind9 über appamor.
Seit einiger Zeit wird der Bind9 unter Ubuntu-Server 16.04, mit apparmor abgesichert. Wenn Sie jetzt einen Samba-ADDC mit Bind9 einrichten, müssen Sie die Konfigurationsdatei /etc/apparmor.d/usr.sbin.named wie folgt anpassen:
vi /etc/apparmor.d/usr.sbin.named
/etc/bind/** r,
/var/lib/bind/** rw,
/var/lib/bind/ rw,
/var/cache/bind/** lrw,
/var/cache/bind/ rw,
/var/lib/samba/private/** rwmk,
/usr/lib/x86_64-linux-gnu/** rwmk,
/dev/urandom rwmk,
Anschließend müssen Sie den Dienst neu starten.
Ich habe die Einträge der Datei etwas anpassen müssen, weil die Zugriffsrechte für den Bind9 seit einiger Zeit noch etwas restriktiver gehandhabt werden. Es reicht nicht mehr aus das Verzeichnis /var/lib/samba/private/** freizugeben.
Schemaerweiterung einfach gemacht
Wieder ein neues kleines Howto um das Schema des Active Directories um eigene Attribute zu erweitern. Seien Sie sehr vorsichtig bei der Erweiterung des Schemas.
CTDB Howto
Noch ein kleines Howto, dieses Mal zum Thema CTDB. Es wird ein Gluster-Volume erstellt und anschließend CTDB als Cluster-Fileserver in eine Active Directory-Domäne eingebunden.
Fehler im CTDB samba.50-eventskript Debian und Ubuntu
Wenn CTDB dazu verwendet werden soll , um Samba im Cluster zu starten, wird das Skript /etc/ctdb/events.d/50.samba aufgerufen und damit die Deamons smbd und nmbd über den systemctl gestartet. Bei älteren Distributionen wurde Samba über samba.service gestartet. Bei den aktuellen Versionen werden die beiden Dienste einzeln über smbd.service und nmbd.service gestartet. Damit CTDB die beiden Dienste wieder starten kann, muss das Skript wie folgt angepasst werden:
debian)
CTDB_SERVICE_SMB=${CTDB_SERVICE_SMB:-smbd}
CTDB_SERVICE_NMB=${CTDB_SERVICE_NMB:-nmbd}
;;
Danach kann CTDB die beiden Dienste wieder starten.
Kleines Howto
Ich habe mal ein kleines Howto erstellt, mit dem zwei Samba 4 Domaincontroller, zusammen mit Bind9 als DNS-Server, eingerichtet werden können. Alle verwendeten Kommandos sind aufgelistet. Viel Spaß beim Ausprobieren
ldb-tools nach Badlock
Viele Samba-Nutzer erhalten nach dem Update auf einem wegen des badlock-Bug gepatchten Systems Fehlermeldungen beim Zugriff auf die Datenbank mit den ldb-tools. Dabei spielt es keine Rolle, ob Sie den Zugriff über ldaps:// oder ldap:// durchführen. Um dieses Problem zu lösen gibt es zwei verschiedene Lösungen:
1. Sie passen die Datei smb.conf auf Ihrem Domaincontroller dahingegen an, dass Sie die Überprüfung und Sicherheit die durch den Patch eingespielt wurden abschalten, dass können Sie über die Parameter:
– tls verify peer = no_check
– ldap server require strong auth = no
Dabei werden die RPC-Zugriffe zwar immer noch über TLS abgesichert, aber die Zertifikate werden nicht ausreichend auf Gültigkeit geprüft. Alles funktioniert anschließend so wie Sie es gewöhnt sind.
2. Sie verwenden nur noch Kerberos für die Authentifizierung zusammen mit ldap://. Ja, ein Zugriff über ldap:// zusammen mit einer Authentifizierung und Verschlüsselung mit Kerberos ist sicherer als der Zugriff über ldaps:// mit Zertifikaten. Für den Zugriff müssen Sie sich lediglich mit „kinit“ ein Ticket ziehen und dann bei der Verwendung der ldb-tools den Parameter „-k yes“ verwenden. Ein ldbsearch würde dann wie folgt aussehen:
– kinit administrator
– ldbsearch -H ldap://addc.example.net „cn=username“ -k yes
Jetzt wird die Authentifizierung und Verschlüsselung mit Kerberos durchgeführt, ein „Man in the middle“-Angriff wird dabei nicht mehr möglich sein.
Ich hoffe dieser kleine Tipp hilft Betroffenen weiter. Mehr zu der Thematik badlock finden Sie hier
Schwere Sicherheitslücke in Windows und Samba
Stefan Metzmacher vom Samba-Team hat eine schwere Sicherheitslücke gefunden, die sowohl Windows als auch Samba betrifft. Am 12. April wird ein Patch für diese Lücke erscheinen. Erst dann wird auch genau beschrieben worum es bei der Sicherheitslücke geht.
Das Samba-Team arbeitet dabei eng mit den Microsoft-Entwicklern zusammen um das Problem zu lösen. Für die Samba-Versionen 4.2, 4.3 und 4.4 (die gerade erschienen ist) wird es Patches geben. Alle Versionen davor werden NICHT mehr mit Sicherheitsupdates ausgestattet. Für den „Badlock Bug“ wurde extra eine Webseite eingerichtet. Hier werden immer die aktuellsten Informationen zu dem Bug bekannt gegeben.
SambaXP 2016
Im Mai ist es wieder soweit, die SambaXP findet statt. Mit einer großen Änderung: Dieses Mal findet die SambaXP nicht in Göttingen statt, sondern in Berlin. Auch dieses Mal werde ich wieder den ersten Tag mit einem Tutorial gestalten. Es geht dabei um das Thema Active Directory-Administration und das Einrichten von Domain-Trusts. Was ist da schon möglich und was geht noch nicht?
Neueste Kommentare