Cybrain - Fotolia

Konfiguration von Samba 4 als Active-Directory-Domänencontroller

Für einen Active-Directory-Domänencontroller muss es nicht zwangsläufig Windows Server sein: Mit Samba 4 steht eine veritable Alternative bereit.

Für die Authentifizierung im Netzwerk ist Microsofts Verzeichnisdienst Active Directory vor allem dann interessant, wenn Microsoft-Serverdienste oder -Workstations eingesetzt werden. Als Active-Directory-Domänencontroller muss aber nicht unbedingt ein Windows-Server im Einsatz sein. Samba 4, die Open-Source-Lösung für den Linux-Bereich, kann nicht nur Dateidienste zur Verfügung stellen, sondert bietet auch die Möglichkeiten zum Einsatz als AD-Domänencontroller.

Am besten sollte dazu auf Samba 4.4 gesetzt werden, da die aktuelle Version einige Fehlerbehebungen bietet und auch mit SMB 3.0 besser zurechtkommt als Vorgängerversionen. Die neue Version ist auch bereits mit Windows 10 kompatibel.  Die Datenbank für Active Directory (CTDB) ist in der neuen Version ebenfalls wesentlich stabiler als in früheren Versionen.

Die veraltete Version 3.0 war nur in der Lage, eine Windows-NT-Domäne zu erstellen, während Samba 4 nun auch ein Active Directory darstellen kann. Die neue Version unterstützt also Active Directory inklusive LDAP-Server (Lightweight Directory Access Protocol) und Kerberos Key Distribution Center.

Im Netzwerk können auch mehrere Domänencontroller mit Samba 4 eingesetzt werden. Diese können untereinander Daten synchronisieren, ähnlich wie Domänencontroller auf Basis von Windows Server. Samba bietet, wie Windows, Gruppenrichtlinien und servergespeicherte Profile. Samba-Domänencontroller lassen sich sogar mit Windows-Tools verwalten, die eigentlich für Windows Server gedacht sind.

Samba 4 als Active Directory Alternative
Samba-Server lassen sich auch mit grafischen Verwaltungstools von Windows-Clients aus verwalten.

Samba installieren oder als Appliance einbinden

Natürlich lässt sich Samba ganz normal bei den Entwicklern herunterladen und auf einem Linux-Server installieren. Die Konfiguration als Active-Directory-Domänencontroller erfolgt dann nachträglich. Im Internet finden sich aber auch bereits vorgefertigte Server als Appliance, die eine gute Grundlage bieten und zum Beispiel auch in VMware vSphere importierbar sind. Eine solche Appliance stellt zum Beispiel SUSE zur Verfügung.

Univention Corporate Server (UCS) wäre eine weitere Möglichkeit, einen Server mit Samba 4 zu installieren. Allerdings sind hier noch weitere Serverdienste integriert, sodass sich diese Distribution nicht für den Betrieb als herkömmlicher Domänencontroller eignet, sondern vor allem als Ersatz für Microsoft Small Business Server.  Wer Samba direkt bei den Entwicklern herunterlädt, findet dort auch ein Whitepaper, das bei der Einrichtung hilft.

Samba-4-Server lassen sich auch als Mitgliedsserver in einem Active Directory auf Basis von Windows Server einbinden, die Software ist also sehr flexibel und gemischte Umgebungen durchaus denkbar. In kleineren Niederlassungen kann ein Samba-Server zum Beispiel als Domänencontroller fungieren, der auch Funktionen eines Dateiservers zur Verfügung stellt.

Active Directory mit Samba auf Ubuntu-Servern

Auch auf Ubuntu-Servern lässt sich ein Active Directory mit Samba aufbauen. Vor der Installation sollten die Quellen und der Server erst auf den neusten Stand gebracht werden:

apt-get update

apt-get upgrade

Die Installation des Samba-Paketes erfolgt mit

apt-get install samba4

oder mit apt-get install samba smbclient, um auch gleich den SMB-Client zu installieren. Um alle notwendigen Dienste auf einmal zu installieren, kann der folgende Befehl verwendet werden:

apt-get install attr build-essential libacl1-dev libattr1-dev \

libblkid-dev libgnutls-dev libreadline-dev python-dev libpam0g-dev \

python-dnspython gdb pkg-config libpopt-dev libldap2-dev \

dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev acl ntp

Um Kerberos ohne die anderen Dienste sowie die dazugehörigen Verwaltungstools zu installieren, wird der folgende Befehl verwendet:

apt-get install krb5-user

Samba verfügt über eine eigene Konfigurationsdatei für Kerberos. Um diese zu nutzen, sichern Sie die originale Konfigurationsdatei und kopieren die Config-Datei von Samba an die richtige Stelle, zum Beispiel mit:

mv /etc/krb5.conf /etc/krb5.conf.orig

ln -sf /var/lib/samba/private/krb5.conf /etc/krb5.conf

Kerberos lässt sich danach mit den folgenden Befehlen testen:

kinit administrator

klist

Um auch den NTP-Server auf Ubuntu zu installieren, verwenden Sie folgenden Befehl:

apt-get install ntp

Der Dienst wird durch folgende Befehle konfiguriert:

service ntp stop

ntpdate -B 0.ubuntu.pool.ntp.org

service ntp start

Testen lässt sich der Client mit:

ntpq -p

In der Samba-Wiki ist hierzu eine passende Anleitung vorhanden.

Ubuntu verfügt nach der Installation von Samba über das samba-tool. Mit diesem unscheinbaren Tool lassen sich Einstellungen vornehmen und überprüfen sowie die Konfiguration testen. Um einen Domänencontroller zu installieren wird folgender Befehl verwendet:

samba-tool domain provision

Um zum Beispiel das Active Directory zu überprüfen wird der Befehl samba-tool testparm verwendet. Auch die Replikation der Active Directory-Daten zwischen den Servern lässt sich mit dem Tool testen:

samba-tool drs showrepl

Der Befehl hilft auch dabei, zusätzliche Domänencontroller in die Domäne einzubinden:

samba-tool domain join test.dom DC --username=administrator --use-ntvfs

Die generelle Vorgehensweise, um zusätzliche Domänencontroller einzubinden, zeigen die Samba-Entwickler wieder in der Wiki.

Samba bietet auch den Zugriff per SMB-Protokoll, hier steht auch die neue Version 3.0 zur Verfügung. Samba 4 setzt auf Wunsch den Dateiserver smdb aus Samba 3 ein. Es besteht aber auch die Möglichkeit auf die angepasste Version NTVFS setzen.

Samba 4 als Domänencontroller

Wie bei Windows Server spielt das Domain Name System (DNS) in Active Directory auch mit Samba eine wichtige Rolle. Daher kann auf Samba-Servern natürlich auch ein DNS-Server betrieben werden. Enorm wichtig ist der Betrieb eines Zeit-Servers auf Basis des Network Time Protocol (NTP). Die Uhrzeiten der Server und Arbeitsstationen müssen miteinander synchronisiert sein, da sonst Anmeldeprobleme zu erwarten sind. Für die Installation und den Betrieb von Samba als Domänencontroller gibt es ebenfalls einen Artikel im Samba-Wiki.

Am einfachsten lässt sich Samba mit Active Directory auf Basis der bereits erwähnten SUSE-Appliance testen. Nachdem der virtuelle Server gestartet ist, melden Sie sich mit dem Benutzer root und dem Kennwort opensuse an. Mit cd /srv und dann mit cd /v gelangen Sie in das Verzeichnis mit den Installationsdateien. Starten Sie dann das Skript ./dcpromo.excellent. Mit diesem können Sie eine neue Active-Directory-Gesamtstruktur aufbauen.

Samba 4 als Active Directory Alternative
Benutzer legen Sie mit Samba ebenfalls über Active Directory-Benutzer und -Computer an.

Die Verwaltung des Servers erfolgt über Computer mit Windows 7/8/10 und den Microsoft Remote-Server-Verwaltungstools. Die Tools sind über die Adresse http://<IP-Adresse des Samba-Servers> über den Server aufrufbar. Der Umgang auf Seiten der Windows-Clients entspricht im Grunde genau den Vorgehensweisen beim Verbindungsaufbau eines Servers mit Windows Server 2012/2012 R2.

Soll ein Server nicht mehr als Domänencontroller eingesetzt werden, lässt er sich auch wieder zu einem herkömmlichen Server herunterstufen. Die Vorgehensweise dazu zeigen die Entwickler ebenfalls in der Samba-Wiki.

Samba ist spätestens ab Version 4.4 absolut in der Lage, ein Active Directory aufzubauen, das auch für Server mit Windows Server 2012 R2 und Arbeitsstationen mit Windows 10 genutzt werden kann. Unternehmen, die sich für den einen oder anderen Bereich den Betrieb eines Windows-Domänencontrollers ersparen wollen, sollten einen Blick auf die Möglichkeiten der Lösung werden.

Über Appliances kann die Umgebung getestet werden und mit Ubuntu-Servern ist ein Domänencontroller recht schnell eingerichtet. Die verschiedenen Wiki-Artikel von Ubuntu und Samba helfen schließlich bei der Einrichtung der Konfiguration.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Serverbetriebssysteme