Inhaltsverzeichnis
Dies ist eine grobe Anleitung, um jenen zu helfen, die von NT4-basierter Domänen-Verwaltung auf Samba-3-basierte Domänen-Verwaltung migrieren wollen.
In der IT-Welt gibt es eine Redensart, die besagt, dass alle Probleme infolge schlechter Planung entstehen. Der Folgerung daraus ist, dass nicht alle Probleme vorweggenommen und eingeplant werden können. Jedoch wird gute Planung die meisten Situationen vorwegnehmen können, die für Unterbrechungen sorgen.
Diejenigen, die von NT4-basierter Domänen-Verwaltung auf Samba-3-basierte Domänen-Verwaltung migrieren wollen, tun gut daran, einen detaillierten Migrationsplan zu entwickeln. Dazu gibt es in diesem Dokument einige Hinweise.
Die hauptsächliche Zielsetzung für die meisten Organisationen wird darin bestehen, die Migration von der NT4- zur Samba-3-Domänen-Verwaltung so reibungslos wie möglich zu gestalten. Ein Problem, dem Sie in Ihrem Migrationsprozess begegnen werden, könnte sein, dass Sie das Management davon überzeugen müssen, an der neuen Umgebung festzuhalten. Viele, die OpenSource-Technologie in Unternehmen eingebracht haben, haben es erlebt, dass sie beim ersten Anzeichen von Problemen unter Druck gesetzt werden, zu Microsoft-basierten Lösungen zurückzukehren.
Bevor Sie eine Migration auf ein Samba-3-kontrolliertes Netz anstreben, sollten Sie jede Anstrengung unternehmen, um dafür Unterstützung von allen Seiten zu erhalten. Vergewissern Sie sich, dass Sie genau wissen, warum diese Veränderung wichtig für Ihre Organisation ist. Mögliche Motive für eine Veränderung sind:
Sie wollen das Netzwerk-Management verbessern.
Sie wollen eine bessere Funktionalität auf Benutzer-Ebene erreichen.
Sie wollen die Kosten für das Betreiben des Netzwerks reduzieren.
Sie wollen Kosten durch den Wegfall des MS-NT4-Supports reduzieren.
Sie wollen die Auswirkungen der MS Lizenz 6 vermeiden.
Sie wollen Ihre Abhängigkeit von Microsoft verringern.
Sorgen Sie dafür, dass jeder weiß, dass Samba-3 NICHT MS Windows NT4 ist. Samba-3 bietet eine alternative Lösung, die sich einerseits von MS Windows NT4 unterscheidet und andererseits Vorteile ihm gegenüber bietet. Erreichen Sie, dass die Verantwortlichen erkennen, dass Samba-3 viele der Features fehlen, die Microsoft als Schlüsselwerte in der Migration von MS Windows NT4 auf MS Windows 2000 und darüber hinaus beworben hat (mit oder ohne Active Directory-Dienste).
Welche Features kann Samba-3 nicht bieten?
Active Directory Server
Gruppen-Richtlinien-Objekte (im Active Directory)
Maschinen-Richtlinien-Objekte
Anmelde-Skripten im Active Directory
Software-Anwendungs- und Zugriffskontrolle im Active Directory
Die Features, die Samba-3 anbietet und die von zwingendem Interesse für Ihre Installation sein können, sind:
Geringere Kosten (Total Cost of Ownership, TCO)
Globale Verfügbarkeit des Supports ohne Verpflichtungen
Dynamische SMB-Server (mehrere SMB/CIFS-Server per UNIX/Linux-System)
Anlegen von On-the-fly-Anmelde-Skripten
Anlegen von On-the-fly-Richtlinien-Dateien
Höhere Stabilität, Verlässlichkeit, Performance und Verfügbarkeit
Administration über eine ssh-Verbindung
Flexible Wahl der Backend-Authentifizierungstechnologie (tdbsam, ldapsam, mysqlsam)
Mögliche Implementation einer vollen Single-Sign-On-Architektur
Die mögliche Verteilung von Authentifizierungssystemen zur Minimierung des Bandbreiten-Bedarfs
Bedenken Sie vor der Migration eines Netzwerks von MS Windows NT4 auf Samba-3 alle notwendigen Faktoren. Die Benutzer sollten über die Änderungen, die Sie bemerken könnten, informiert werden, so dass ihnen die Umstellung willkommen und kein Hindernis, das sie von ihrer Arbeit abhält. Folgende Faktoren tragen dazu bei, eine erfolgreiche Migration zu gewährleisten:
Samba-3 kann als Domänencontroller, als Backup-Domänencontroller (vielleicht am besten als sekundärer Controller bezeichnet), als Domänen-Mitgliedsserver oder als Stand-alone-Server konfiguriert werden. Der Windows-Netzwerk-Domänen-Sicherheitskontext sollte dimensioniert und geprüft werden, und zwar vor der Migration. Besondere Aufmerksamkeit sollte auf die Platzierung des PDCs und der BDCs gelegt werden. Ein Unterschied zwischen der Samba-3- und der Microsoft-Technologie ist, dass man, wenn man sich für das LDAP-Authentifizierungs-Backend entscheidet, dieselbe Datenbank für mehrere verschiedene Domänen benutzen kann. In einer komplexen Organisation kann es eine einzelne LDAP-Datenbank geben, die selbst verteilt werden kann (durch Verwendung eines Master- und mehrerer Slave-LDAP-Server) und die mehrere Domänen bedienen kann.
In Hinblick auf das Design sollte die Anzahl der Benutzer pro Server, ebenso wie die Anzahl der Server pro Domäne, unter Berücksichtigung der Server-Kapazitäten und Netzwerk-Bandbreiten festgelegt werden.
Ein physisches Netzwerk-Segment kann mehrere Domänen beinhalten. Jede Domäne kann wiederum mehrere Netzwerk-Segmente umfassen. Wenn Domänen geroutete Netzwerk-Segmente umfassen, sollten Sie die Auswirkungen auf die Performance bedenken und testen, die der Entwurf und das Design des Netzwerks haben können. Ein zentral platzierter Domänencontroller, der mehrere geroutete Netzwerk-Segmente bedienen soll, kann ernsthafte Performance-Probleme verursachen. Prüfen Sie die Antwortzeiten (ping-Zeiten) zwischen dem entfernten Segment und dem PDC. Sind diese lang (> 100 ms), platzieren Sie einen BDC im entfernten Segment, um als lokaler Authentifikations- und Zugriffskontrollserver zu arbeiten.
Es gibt einige Grundregeln des effektiven Netzwerk-Designs, die nicht ungestraft verletzt werden können. Die wichtigste und erste Regel: Einfachheit siegt. Und das in jedem gut verwalteten Netzwerk. Jeder Teil der Infrastruktur muss verwaltet werden; je komplizierter diese ist, umso größer ist die Notwendigkeit, die Systeme sicher und funktional zu halten.
Halten Sie sich vor Augen, welcher Natur die zu speichernden Daten sind. Das Layout des physischen Platten-Platzes sollte sorgfältig überlegt sein. Manche Daten müssen gesichert werden. Je einfacher das Layout ist, umso einfacher wird es sein, den Backup-Anforderungen gerecht zu werden. Legen Sie fest, welche Backup-Medien Ihren Ansprüchen gerecht werden; erwägen Sie Backups auf Band, CD-ROM (oder DVD-ROM) bzw. anderen Offline-Speicher-Medien. Planen und implementieren Sie im Hinblick auf minimalen Wartungsaufwand. Überlassen Sie nichts dem Zufall! Überlassen Sie vor allem nicht die Backups dem Zufall: Sichern, testen und überprüfen Sie jedes Backup, erstellen Sie einen Disaster-Recovery-Plan, und prüfen Sie, dass er auch funktioniert.
Benutzer sollten nach ihren Bedürfnissen, was den Datenzugriff bzw. dessen Einschränkung betrifft, gruppiert werden. Der Datei- und Verzeichniszugriff wird am besten durch Gruppen-Rechte verwaltet, und die Verwendung des „sticky bits“ auf gruppen-kontrollierte Verzeichnisse kann es grundlegend vermeiden, dass Benutzer von Samba-Freigaben sich über Probleme mit dem Datei-Zugriff beschweren.
Unerfahrene Netzwerk-Administratoren versuchen oft mit komplizierten Techniken Zugriffskontrollen auf Dateien, Verzeichnisse, Freigaben zu setzen und Freigaben zu definieren. Halten Sie Ihr Design und Ihre Implementation einfach, und dokumentieren Sie Ihr Design ausführlich. Lassen Sie andere Ihre Dokumentation prüfen. Schaffen Sie kein komplexes Durcheinander, das kein Nachfolgender versteht. Denken Sie daran, dass Sie Betriebsausfall und Stillstand für die Benutzer verursachen können, wenn Sie versuchen, Sicherheit durch komplexes Design und komplexe Implementation zu schaffen. Der neue Adminístrator muss nämlich erst lernen, Ihre Knoten zu entwirren. Halten Sie die Zugriffskontrollen simpel und effektiv, und stellen Sie sicher, dass die Benutzer nie durch dumme Komplexität unterbrochen werden.
Anmelde-Skripten können dabei helfen, sicherzustellen, dass alle Benutzer die Freigabe- und Drucker-Verbindungen erreichen können, die sie brauchen.
Anmelde-Skripten können im Betrieb erzeugt werden, so dass alle ausgeführten Befehle spezifisch für die Rechte und Privilegien sind, die dem Benutzer erteilt wurden. Die bevorzugten Kontrollen sollten von der Gruppen-Mitgliedschaft abhängig sein, so dass die Gruppen-Information dazu benutzt werden kann, ein maßgeschneidertes Anmelde-Skript anzulegen. Dies kann durch Anwendung des Parameters root preexec in der Freigabe NETLOGON geschehen.
Manche Organisationen bevorzugen es, ein Werkzeug wie kixstart zu verwenden, um eine kontrollierte Benutzer-Umgebung zu schaffen. Jedenfalls werden Sie vielleicht mittels Google nach Programmen für Anmelde-Skripten suchen wollen. Sie sollten sich vor allem den Artikel KB189105 in der Microsoft KnowledgeBase ansehen, der beschreibt, wie man über den Logon-Skript-Vorgang Drucker ohne Benutzer-Intervention hinzufügt.
Benutzer- und Gruppen-Profile können unter Verwendung der Werkzeuge migriert werden, die im Abschnitt Das Management von Desktop-Profilen beschrieben sind.
Profile können auch mit dem Samba-3-Werkzeug profiles verwaltet werden. Dieses Werkzeug erlaubt es, die Sicherheitsidentifier (SIDs) im MS Windows NT-Stil, die in der Profil-Datei NTuser.DAT gespeichert sind, auf den SID der Samba-3-Domäne zu ändern.
Es ist möglich, alle Konten-Einstellungen von einer MS Windows NT4-Domäne auf Samba-3 zu migrieren. Bevor Sie versuchen, Benutzer- und Gruppen-Konten zu migrieren, sollten Sie UNBEDINGT in Samba die Gruppen anlegen, die in der MS Windows NT4-Domäne vorhanden sind UND sie auf passende UNIX/Linux-Gruppen abbilden („mappen“). Wenn Sie diesen einfachen Ratschlag befolgen, sollten alle Benutzer- und Gruppen-Attribute problemlos migrieren.
Migrationsprozess läuft ungefähr wie folgt ab:
Sie haben einen NT4-PDC, der die Benutzer, Gruppen, Richtlinien und Profile hat, die migriert werden sollen.
Samba-3 ist als DC mit Netlogon-Freigabe, Profil-Freigabe und so weiter eingerichtet. Editieren Sie die Datei smb.conf, um Samba-3 z.B. als BDC zu konfigurieren: domain master = No.
Prozedur 31.1. Der Migrationsprozess der Konten
Legen Sie ein BDC-Konto für den Samba-Server in der alten NT4-Domäne an. Verwenden Sie dazu den NT-Server-Manager.
Samba darf nicht laufen.
net rpc vampire -S NT4PDC -U administrator%passwd
pdbedit -L
Achten Sie auf Folgendes: Haben die Benutzer migriert?
Weisen Sie nun jede der UNIX-Gruppen einer NT-Gruppe zu. (Es könnte hilfreich sein, diesen Text in ein Skript namens initGroups.sh zu kopieren.)
#!/bin/bash #### Behalten Sie dies als Shell-Skript zur weiteren Verwendung # Zuerst die Zuweisung der wohlbekannten globalen Domänen-Gruppen net groupmap modify ntgroup="Domain Admins" unixgroup=root rid=512 net groupmap modify ntgroup="Domain Users" unixgroup=users rid=513 net groupmap modify ntgroup="Domain Guests" unixgroup=nobody rid=514 # Nun für unsere hinzugefügten globalen Domänen-Gruppen net groupmap add ntgroup="Designers" unixgroup=designers type=d rid=3200 net groupmap add ntgroup="Engineers" unixgroup=engineers type=d rid=3210 net groupmap add ntgroup="QA Team" unixgroup=qateam type=d rid=3220
net groupmap list
Überprüfen Sie, dass alle Gruppen erkannt werden.
Migrieren Sie alle Profile, dann migrieren Sie alle Richtlinien.
Organisationen, die von der MS Windows NT4-Domänen-Verwaltung auf eine Samba-basierende Lösung migrieren wollen, fallen generell in drei grundlegende Kategorien. ??? zeigt die Möglichkeiten.
Tabelle 31.1. Die drei Haupttypen von Installationen
| Anzahl der Benutzer | Beschreibung |
|---|---|
| < 50 | Wollen eine einfache Umstellung ohne Probleme. |
| 50 - 250 | Wollen neue Funktionen, wollen manche interne Komplexität besser managen. |
| > 250 | Die Lösung/Implementation muss gut skalieren, es gibt komplexe Anforderungen. Abteilungsübergreifender Entscheidungsprozess. Lokale Expertisen in den meisten Bereichen. |
Es gibt drei grundlegende Wahlmöglichkeiten für Sites, die von MS Windows NT4 auf Samba-3 migrieren wollen:
Einfache Konvertierung (komplettes Ersetzen)
Erweiterte Konvertierung (könnte ein Weg der Integration sein)
Komplettes Redesign (komplett neue Lösung)
Minimieren Sie spätere Probleme durch folgende Maßnahmen:
Nehmen Sie sich ausreichend Zeit.
Vermeiden Sie Panik.
Überprüfen Sie alle Annahmen.
Testen Sie das volle Einführungsprogramm, einschließlich der Workstations.
??? listet die Konvertierungsmöglichkeiten je nach angestrebtem Migrationstyp auf.
Tabelle 31.2. Eigenschaften der Konvertierungsmöglichkeiten
| Einfach | Erweitert | Redesign |
|---|---|---|
Anwendung der minimalen Features des OS | Übersetzen der NT4-Features in die Features des neuen OS | Entscheide: |
Bewegen aller Konten von NT4 auf Samba-3 | Kopieren und verbessern | Authentifikationsregelung (Datenbank-Platzierung und -Zugriff) |
Nur die notwendigsten operationalen Änderungen | Progressive Verbesserungen | Desktop-Management-Methoden |
Kürzeste Migrationszeit | Auswirkungen auf Benutzer minimieren | Bessere Kontrolle über Desktops/Benutzer |
Live- versus isolierter Konvertierung | Maximieren der Funktionalität | Bestimmen Sie Bedarf an: Verwaltung, Skalierbarkeit, Sicherheit, Verfügbarkeit |
Integration von Samba-3, dann migrieren, während Benutzer aktiv sind, dann Änderung der Verwaltung (swap out) | Den Vorteils des geringeren Wartungsaufwands nutzen |
Samba-3 kann ein externes Authentifikationsbackend verwenden:
Winbind (externer Samba oder NT4/200x-Server)
Externer Server, der Active Directory oder NT4 Domäne nutzt
Kann pam_mkhomedir.so verwenden, um automatisch home-Verzeichnisse anzulegen.
Samba-3 kann ein lokales Authentifikationsbackend verwenden: smbpasswd, tdbsam, ldapsam, mysqlsam
Samba erlaubt es, Access Control Points zu setzen:
Auf der Freigabe selbst mittels Share ACLs
Auf dem Dateisystem mittels UNIX-Berechtigungen auf Dateien und Verzeichnissen
Bemerkung: Auf diese Weise können Sie auch Posix-ACLs im Dateisystem aktivieren.
Durch Samba-Freigaben-Parameter . Nicht empfohlen, außer als letzte Möglichkeit.
Seien Sie äußerst vorsichtig, wenn Sie Änderungen an der Registry vornehmen, verwenden Sie das richtige Werkzeug, und denken Sie daran, dass Änderungen unter Verwendung von NTConfig.POL-Dateien im NT4-Stil dauerhafte Änderungen verursachen können.
Verwendung des Group Policy Editor (NT4)
Achten Sie auf den „Tattoo-Effekt“.
Diese sind plattform-spezifisch. Benutzen Sie also ein Werkzeug dieser Plattform, um von einem lokalen Profil auf ein Roaming-Profil zu wechseln. Man kann das neue Profil-Tool verwenden, um SIDs zu ändern (NTUser.DAT).
Sie müssen wissen, wie diese Skripten arbeiten.
Der Code zum Mapping von Benutzern und Gruppen ist neu. Viele Probleme sind aufgetaucht, als Netzwerk-Administratoren, die mit Samba-2.2.x vertraut waren, auf Samba-3 migriert haben. Lesen Sie sorgfältig die Kapitel, die das neue Verhalten des Passwort-Backends und die neue Gruppen-Mapping-Funktionalität dokumentieren.
Die username map-Einrichtung könnte benötigt werden.
Verwenden Sie net groupmap, um NT4-Gruppen mit UNIX-Gruppen zu verbinden.
Verwenden Sie pdbedit, um die Benutzer-Konfigurationen zu setzen und zu ändern.
Beim Migrieren auf LDAP kann es einfacher sein, die anfängliche LDAP-Datenbank als LDIF-Datei auszugeben, zu editieren und wieder in LDAP einzulesen.
Jedes Betriebssystem hat seine Besonderheiten. Diese sind das Ergebnis von Entscheidungen, die auf den Erfahrungen des Designers beruhen. Sie können Nebeneffekte haben, die nicht beabsichtigt waren. Zu den Einschränkungen, die den Windows-Netzwerk-Administrator betreffen können, zählen:
Hinzufügen/Löschen von Benutzern: Beachten Sie die Beschränkungen des Betriebssystems in Hinblick auf Länge des Benutzernamens (Linux 8 Zeichen, NT4 bis zu 254 Zeichen).
Hinzufügen/Löschen von Maschinen: Betrifft nur Domänen-Mitglieder (Bemerkung: Maschinen-Namen können auf 16 Zeichen beschränkt sein).
Verwendung von net groupmap, um NT4-Gruppen mit UNIX-Gruppen zu verbinden.
Hinzufügen/Löschen von Gruppen: Beachten Sie Beschränkungen des Betriebssystems bei Länge und Format. Das Limit in Linux sind 16 Zeichen ohne Leerzeichen und Großbuchstaben (groupadd).
Domänenverwaltung (im NT4-Stil) Profile, Richtlinien, ACLs, Sicherheit
Samba: net, rpcclient, smbpasswd, pdbedit, profiles
Windows: NT4 Domain User Manager, Server Manager (NEXUS)