Samba3 als PDC für Windows-Clients

Bereits seit Samba 2.0 kann Samba einen kompletten Windows2000 PDC (Primärer Domainen Controller) emulieren und so kann ein Netz aufgebaut werden, das alle Vorteile von NT-Domains bietet, ohne die lästigen Lizenzgebühren.

Dieses HowTo basiert auf GNU/Linux Debian "Etch" und "Lenny" sowie Samba 3.

Installation von Samba 3

Zunächst wird das Samba-Paket und optional smbfs mit apt installiert. smbfs dient dem Mounten von Verzeichnisfreigaben anderer Windows-Clients und -Server unter Linux, dieses Paketist jedoch nicht zwingend notwendig für die Samba-Konfiguration.

apt-get install samba smbfs

Gruppenstruktur anlegen

Dann erzeugen wir eine Gruppenstruktur, die später für die Domäne gilt. Für die Idenfikation der Samba-Gruppen werden die Gruppennamen mit einen vorgehenden "samba-" ergänzt.

groupadd samba-admins
groupadd samba-users
groupadd samba-computer

samba-admins:Diese Gruppe enthält alle Domänenadmins.
samba-users:In dieser Gruppe werden die normalen User abgelegt.
samba-computer:Diese Gruppe ist für die Maschinen- oder Computerkonten.

Samba-Benutzer anlegen

Als Nächstes legen wir Benutzer an, die keine Home-Verzeichnisse und Shell-Accounts auf Linux haben, sondern nur in Samba existieren. Um einen User in die Sambadatenbank einzubinden, muss er bereits in der /etc/passwd angelegt sein, was mit useradd erledigt wird.

Den Administrator benötigen wir später unter Windows, er kann sich nicht unter Linux anmelden und ist hier auch kein root.

useradd -g samba-admins -s /bin/false -d /dev/null Administrator

Einen Standard-Benutzer

useradd -g samba-users -s /bin/false -d /dev/null benutzer1

Benutzer freischalten

Anschliessend werden die Benutzer noch mit Passwörtern versehen und aktiviert:

smbpasswd -a benutzer1
smbpasswd -e benutzer1

smbpasswd wird jetzt nach einem Passwort fragen. Mit diesem Passwort melden Sie sich dann an. Vergessen Sie nicht, wenigstens einem Administrator ein Passwort zuzuweisen und zu aktivieren. Denn nur ein Administrator darf einen Computer in eine Windows-Domäne einbinden.

Maschinenkonten anlegen

Da sich an Samba als Primärdomänen-Controller nicht nur Benutzer, sondern auch Maschinen anmelden, werden sogenannte Maschinenkonten angelegt. Die Namen sind die NetBios-Namen der Windows-Clients, die sich an der Domäne anmelden wollen, gefolgt von einem $-Zeichen.

useradd -g samba-computer -s /bin/false PC01$
smbpasswd -a -m PC01$

Profil-Verzeichnisse anlegen

Damit servergespeicherte Profile mit Samba funktionieren, muss man das Verzeichnis /home/samba und die zwei Unterverzeichnisse netlogon und profile anlegen. Dabei werden in profile die Benutzerprofile pro Anwender beim An- und Abmelden vom System angelegt. In netlogon dagegen liegen die Anmeldeskripte, die im DOS-Format erstellt werden müssen.

mkdir -p /home/samba/netlogon
mkdir /home/samba/profile

Die Berechtigungen werden analog gesetzt:

chmod 777 /home/samba
chmod 755 /home/samba/netlogon
chmod 770 /home/samba/profile

In Anschluss daran müssen noch die Verzeichnisse für die Benutzer anlegt werden, wobei hier USER stellvertretend für den jeweiligen  Benutzer steht. Die Verzeichnisse werden dem Benutzer zugeschrieben und mit Vollzugriff für den Benutzer und ansonsten kein Zugriff für alle anderen versehen.

mkdir /home/samba/profile/USER
chmod 700 /home/samba/profile/USER
chown USER /home/samba/profile/USER

Das war es soweit mit den vorbereitenden Arbeiten. Als Nächstes muss die Samba-Konfigurationsdatei smb.conf angepasst werden.