GlusterFS mount-Bug unter Debian

Posted on 26. Dezember 2016 by Stefan

Da es bei Debian (und somit auch unter Ubuntu) einen Bug gibt, der dazu führt, dass Gluster-Dateisysteme beim Systemstart nicht ordnungsgemäß gemountet werden, habe ich hier ein Lösung dafür. Für den Systemd können verschiedene Targets erstellt werden, darunter auch ein target.mount. Über so eine Target lässt sich ein Dateisystem beim Systemstart mounten. Ein Eintrag in der /etc/fstab wir dann nicht mehr benötigt. Angenommen es soll ein Gluster-Volume (gv1) nach /glusterfs gemountet werden, dann muss eine Target-Datei /etc/systemd/system/glusterfs.mount erstellt werden.

Der Name muss identisch zum Mountpoint sein!
Hier sehen Sie die neue Version die auch funktioniert, wenn kein Knoten mehr aktiv ist.

Der Inhalt der Datei sieht dann so aus:

[Unit]

Description = Data dir

After=network.target glusterfs-server.service

Required=network-online.target



[Mount]

RemainAfterExit=true

ExecStartPre=/usr/sbin/gluster volume list

ExecStart=/bin/mount -a -t glusterfs

Restart=on-failure

RestartSec=3

What=master-01:/gv0

Where=/glusterfs

Type=glusterfs

Options=defaults,acl



[Install]

WantedBy=multi-user.target

Jetzt muss das Target noch mit systemctl enable glusterfs.mount aktiviert werden. Nach einem Neustart ist das Gluster-Dateisystem dann automatisch gemountet.

Posted in Allgemein, Samba | Leave a comment

Ubuntu sichert Bind9 über appamor.

Posted on 24. November 2016 by Stefan

Seit einiger Zeit wird der Bind9 unter Ubuntu-Server 16.04, mit apparmor abgesichert. Wenn Sie jetzt einen Samba-ADDC mit Bind9 einrichten, müssen Sie die Konfigurationsdatei /etc/apparmor.d/usr.sbin.named wie folgt anpassen:

vi /etc/apparmor.d/usr.sbin.named

	  /etc/bind/** r,

	  /var/lib/bind/** rw,

          /var/lib/bind/ rw,

	  /var/cache/bind/** lrw,

	  /var/cache/bind/ rw,

	  /var/lib/samba/private/** rwmk,

          /usr/lib/x86_64-linux-gnu/** rwmk,

          /dev/urandom rwmk,

Anschließend müssen Sie den Dienst neu starten.
Ich habe die Einträge der Datei etwas anpassen müssen, weil die Zugriffsrechte für den Bind9 seit einiger Zeit noch etwas restriktiver gehandhabt werden. Es reicht nicht mehr aus das Verzeichnis /var/lib/samba/private/** freizugeben.

Posted in Allgemein | Leave a comment

Schemaerweiterung einfach gemacht

Posted on 30. Oktober 2016 by Stefan

Wieder ein neues kleines Howto um das Schema des Active Directories um eigene Attribute zu erweitern. Seien Sie sehr vorsichtig bei der Erweiterung des Schemas.

Posted in Samba | Leave a comment

CTDB Howto

Posted on 10. Oktober 2016 by Stefan

Noch ein kleines Howto, dieses Mal zum Thema CTDB. Es wird ein Gluster-Volume erstellt und anschließend CTDB als Cluster-Fileserver in eine Active Directory-Domäne eingebunden.

Posted in Allgemein, Samba | Leave a comment

Fehler im CTDB samba.50-eventskript Debian und Ubuntu

Posted on 10. Oktober 2016 by Stefan

Wenn CTDB dazu verwendet werden soll , um Samba im Cluster zu starten, wird das Skript /etc/ctdb/events.d/50.samba aufgerufen und damit die Deamons smbd und nmbd über den systemctl gestartet. Bei älteren Distributionen wurde Samba über samba.service gestartet. Bei den aktuellen Versionen werden die beiden Dienste einzeln über smbd.service und nmbd.service gestartet. Damit CTDB die beiden Dienste wieder starten kann, muss das Skript wie folgt angepasst werden:

debian)
CTDB_SERVICE_SMB=${CTDB_SERVICE_SMB:-smbd}
CTDB_SERVICE_NMB=${CTDB_SERVICE_NMB:-nmbd}
;;

Danach kann CTDB die beiden Dienste wieder starten.

Posted in Allgemein | Leave a comment

Kleines Howto

Posted on 5. Oktober 2016 by Stefan

Ich habe mal ein kleines Howto erstellt, mit dem zwei Samba 4 Domaincontroller, zusammen mit Bind9 als DNS-Server, eingerichtet werden können. Alle verwendeten Kommandos sind aufgelistet. Viel Spaß beim Ausprobieren

Posted in Allgemein | Leave a comment

ldb-tools nach Badlock

Posted on 13. Juni 2016 by Stefan

Viele Samba-Nutzer erhalten nach dem Update auf einem wegen des badlock-Bug gepatchten Systems Fehlermeldungen beim Zugriff auf die Datenbank mit den ldb-tools. Dabei spielt es keine Rolle, ob Sie den Zugriff über ldaps:// oder ldap:// durchführen. Um dieses Problem zu lösen gibt es zwei verschiedene Lösungen:
1. Sie passen die Datei smb.conf auf Ihrem Domaincontroller dahingegen an, dass Sie die Überprüfung und Sicherheit die durch den Patch eingespielt wurden abschalten, dass können Sie über die Parameter:
– tls verify peer = no_check
– ldap server require strong auth = no
Dabei werden die RPC-Zugriffe zwar immer noch über TLS abgesichert, aber die Zertifikate werden nicht ausreichend auf Gültigkeit geprüft. Alles funktioniert anschließend so wie Sie es gewöhnt sind.

2. Sie verwenden nur noch Kerberos für die Authentifizierung zusammen mit ldap://. Ja, ein Zugriff über ldap:// zusammen mit einer Authentifizierung und Verschlüsselung mit Kerberos ist sicherer als der Zugriff über ldaps:// mit Zertifikaten. Für den Zugriff müssen Sie sich lediglich mit „kinit“ ein Ticket ziehen und dann bei der Verwendung der ldb-tools den Parameter „-k yes“ verwenden. Ein ldbsearch würde dann wie folgt aussehen:
– kinit administrator
– ldbsearch -H ldap://addc.example.net „cn=username“ -k yes
Jetzt wird die Authentifizierung und Verschlüsselung mit Kerberos durchgeführt, ein „Man in the middle“-Angriff wird dabei nicht mehr möglich sein.

Ich hoffe dieser kleine Tipp hilft Betroffenen weiter. Mehr zu der Thematik badlock finden Sie hier

Posted in Samba | Leave a comment

Schwere Sicherheitslücke in Windows und Samba

Posted on 23. März 2016 by Stefan

Stefan Metzmacher vom Samba-Team hat eine schwere Sicherheitslücke gefunden, die sowohl Windows als auch Samba betrifft. Am 12. April wird ein Patch für diese Lücke erscheinen. Erst dann wird auch genau beschrieben worum es bei der Sicherheitslücke geht.

Das Samba-Team arbeitet dabei eng mit den Microsoft-Entwicklern zusammen um das Problem zu lösen. Für die Samba-Versionen 4.2, 4.3 und 4.4 (die gerade erschienen ist) wird es Patches geben. Alle Versionen davor werden NICHT mehr mit Sicherheitsupdates ausgestattet. Für den „Badlock Bug“ wurde extra eine Webseite eingerichtet. Hier werden immer die aktuellsten Informationen zu dem Bug bekannt gegeben.

Posted in Samba | Leave a comment

SambaXP 2016

Posted on 16. März 2016 by Stefan

Im Mai ist es wieder soweit, die SambaXP findet statt. Mit einer großen Änderung: Dieses Mal findet die SambaXP nicht in Göttingen statt, sondern in Berlin. Auch dieses Mal werde ich wieder den ersten Tag mit einem Tutorial gestalten. Es geht dabei um das Thema Active Directory-Administration und das Einrichten von Domain-Trusts. Was ist da schon möglich und was geht noch nicht?

Posted in Samba | Leave a comment

SerNet-Pakete nicht mehr kostenlos,was nun?

Posted on 26. September 2015 by Stefan

Mit der neuen Version 4.3 hat SerNet die kostenlose Bereitstellung der Samba-Pakete eingestellt. Die Pakete bis zur Version 4.2 werden auch weiterhin über die bekannte Adresse kostenlos bereitgestellt, solange die Versionen supportet werden.

Aber was kommt dann?
Selbstverständlich bleibt Samba open Source. Die Pakete bleiben Bestandteil der Distributionen und auch die Quellen der ganz aktuellen Versionen bleiben open Source. Wenn Sie aber die absolut aktuellste Version nutzen möchten, dann bleibt immer der Weg die Pakete selbst zu bauen. Eine Anleitung dazu finden Sie im Wiki des Samba-Teams.

Was passiert mit meinem Buch?
Es wird im kommende Jahr eine neue Auflage geben. Wahrscheinlich dann mit dem Ubuntu-Server 16.04. Denn da wird (hoffe ich doch) Samba 4.3 enthalten sein. Auch überlege ich, entgegen meiner sonstigen Einstellung, ein Kapitel zu schreiben in dem beschrieben wird, wie Sie Samba 4 aus den Quellen selber bauen können.

Für den produktiven Einsatz in Firmen sind die SerNet-Pakete auf jeden Fall eine gute Lösung, denn diese werden immer weiter gepflegt und auch ein update auf neue Versionen ist damit immer gewährleistet.

Posted in Samba | Leave a comment