Samba als PDC in einer Windows Domäne
Dazu verwende ich Ubuntu 8.04
1. Samba installieren
Als erstes muss Samba installiert werden:
2. Samba konfigurieren
Sobald Samba fertig installiert wurde muss die Konfiguration vorgenommen werden.
Die Einstellungen von Samba werden in einer Datei gespeichert smb.conf.
Öffne die Datei /etc/samba/smb.conf mit root Rechten und konfiguriere die Datei nach deinen Bedürfnissen.
2.1. Beispiel Konfiguration
Beispiel Datei:
server string = Samba Server
workgroup = ohren
netbios name = work
log file = /var/log/samba/log.%m
guest account = nobody
preferred master = yes
local master = yes
security = user
logon script = /home/samba/netlogon/%G.cmd
domain master = yes
encrypt passwords = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
domain logons = yes
logon pfad = \\server\profile\%U
logon drive = H:
profile acls = yes
socket options = TCP_NODELAY
#socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
2.2. Datei Erklärung
Der Bereich [global] enthält sämtliche Einstellungen für den ganzen Server ||
server string | ist das "Bemerkungsfeld". |
workgroup | das ist der spätere Domäne Name |
log file | Pfad zum Logfile von Samba |
logon script | Pfad zum Logonscript %G ist der Gruppename |
encrypt passwords | Verschlüsselte Passwörter benützen |
domain logons | ermöglicht das einloggen in die Domäne |
profile acls | Notwendig um spätere Probleme mit Servergespeicherten Profile zu vermeiden |
sockets options | Manchmal kann die Geschwindigkeit erhöht werden wenn die zweite Zeile verwendet wird |
2.3. Shared
Auch in der smb.conf werden die Shares (Freigaben) angegeben.
Für die Domäne sind folgende Shares nötig:
comment = Home Drive
browseable = no
writeable = yes
create mask = 0700
directory mask = 0700
[profile]
comment = Profildaten
path = /home/samba/profile/%U/
valid user = %U
browseable = no
writeable = yes
create mask = 0700
directory mask = 0700
[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
guest ok = yes
writeable = no
browseable = yes
share modes = no
[NAME] | Leg den Freigabename fest |
comment | ist der Kommentar zur Freigabe |
writeable | darf die Freigabe beschrieben werden |
browseable | ist die Freigabe im Browser sichtbar |
create mask | chmod Zugriff bei einer neu erstellten Datei |
directory mask | chmod Zugriff bei einem neu erstelltem Verzeichnis |
valid user | Benutzer oder Gruppen welche Zugriff auf die Freigabe haben (Gruppen benötigen ein @ vor dem Gruppenname: @Users ) |
2.4. Samba starten / neu starten
Da die Konfigurationsdatei verändert wurde muss Samba jetzt das erste Mal gestartet werden oder neugestartet werden.
Bei jeder Änderung der Konfigurationsdatei wird ein Neustart von Samba empfohlen.
3. DNS (Domain Name Server)
Damit die Namesauflösung wunderbar funktioniert empfehle ich einen eigenen DNS Server aufzusetzen.
Dafür verwende ich BIND.
Für das aufsetzten eines BIND DNS Server existiert bereits eine Anleitung.
DNS Server aufsetzen
Installiert und konfiguriert den DNS Server bevor ihr mit der Anleitung fortfahrt!
4. Benutzer / Gruppen
4.1. Gruppen
Um neue Gruppen hinzuzufügen muss folgender Befehl ausgeführt werden:
Danach können Benutzer zu dieser Gruppe hinzugefügt werden.
4.2. Benutzer
Das Hinzufügen neuer Benutzer benötigt 1 - 2 Schritte mehr als beim hinzufügen von Gruppen.
UNIX Benutzer hinzufügen
-g | Gruppe |
-c | Kommentar |
-s | Bash (Bei Samba User wird keine Bash benötigt |
Benutzername | Benutzername |
UNIX Passwort vergeben
Samba Passwort vergeben
4.3 Arbeitscomputer
Jeder Arbeitscomputer muss auch einen Benutzername haben, dies wird folgendermassen erstellt.
-g | Gruppenangehörigkeit |
-d | Verzeichnis (Keines) |
-s | Bash (Keine) |
PC | Computername |
Der Computername ist der Windows Computername.
Das $ macht Linux klar, dass es sich um einen Arbeitscomputer handelt.
Auch dieser Benutzer muss zuerst aktiviert werden
5. Ordner erstellen
Als nächstes müssen die notwendigen Ordner für den Betrieb von Samba erstellt werden:
5.1. Profile Verzeichnisse
Verzeichnisse erstellen
sudo mkdir /home/samba/profile
sudo mkdir /home/samba/netlogon
Rechte vergeben
sudo chmod 755 /home/samba/netlogon
sudo chmod 770 /home/samba/profile
5.2. Benutzerordner
Benutzerordner anlegen
sudo chmod 700 /home/samba/profile/BENUTZERNAME
6. Windows Rechner verbinden
Nachdem all diese Einstellungen übernommen worden sind, sollte der Windowsrechner ohne Probleme verbunden werden können. Dafür sind folgende Schritte nötig:
6.1. Registry ändern
Damit danach der Login funktioniert muss in der Registry des Windowsrechners eine Änderung vorgenommen werden.
Und zwar muss folgender Schlüssel auf 0 geändert werden:
Die Registry Datenbank kann über Start->Ausführen->regedit geöffnet werden.
Empfehlenswert ist ein Backup von der Registry vor jeder Änderung!
6.2. Sicherheitseinstellungen ändern
Nach dem Ändern der Registry muss noch eine Option in der Verwaltung geändert werden.
Dazu öffne die Systemsteuerung->Verwaltung->Lokale Sicherheitseinstellungen
Wähle dort "Lokale Richtlinien->Sicherheitsoptionen" die Richtlinie:
>Microsoft-Netzwerk(Client): Unverschlüsseltes Kennwort an SMB-Sever von Drittanbieter senden
Aktiviere diese Richtlinie.
6.3 Rechner zur Domäne hinzufügen
Wenn der Registrywert geändert wurde kann jetzt der Rechner zur Domäne hinzugefügt werden
- Start->Systemsteuerung->System öffnen
- Zum Reiter "Computername" wechseln
- Button "Ändern" drücken
- Option auf "Domäne" ändern
- Domäne Namen eingeben -> Workgroup in der smb.conf
- Computername auf den zuvor festgelegten Name (z.B. PC1) ändern
- Danach alle Fenster mit "OK" bestätigen und Rechner neu starten
Wenn jetzt alles richtig Funktioniert hat sollte nach dem Neustart die Anmeldung an die Domäne funktionieren
7. Anmeldescripte
Die Anmeldescripte müssen im Windowsformat (.bat oder .cmd, etc.) vorliegen.