Inhaltsverzeichnis
Stand-alone-Server sind im Netzwerk unabhängig von Domänencontrollern. Sie sind keine Domänen-Mitglieder und funktionieren eher wie Arbeitsgruppen-Server. In vielen Fällen wird ein Stand-alone-Server mit einem Minimum an Sicherheitskontrolle konfiguriert, mit der Absicht, dass alle Daten für alle Benutzer frei zugänglich sein sollen.
Stand-alone-Server können so sicher oder so unsicher gemacht werden, wie es die Anforderungen vorgeben. Sie können simple oder komplexe Konfigurationen haben. Generell, trotz all dem Trara um Domänen-Sicherheit, bleiben sie eine sehr gängige Installationsform.
Wenn alles, was gebraucht wird, ein Server mit Read-only-Dateien ist oder ein Server nur für Drucker, dann macht es keinen Sinn, eine komplexe Installation aufzusetzen. Zum Beispiel: Ein Zeichenbüro muss alte Zeichnungen und Referenz-Standard-Dateien speichern. Niemand kann Dateien auf den Server schreiben, da es gesetzlich vorgeschrieben ist, dass alle Dokumente unverändert bleiben. Ein Stand-alone-Server im Read-only-Freigaben-Modus ist eine ideale Lösung.
Eine andere Situation, die Einfachheit garantiert, ist ein Büro, das viele Drucker hat, die von einem einzelnen zentralen Server angesteuert werden. Jeder muss Druckaufträge an die Drucker schicken können, es gibt keinen Grund, irgendwelche Zugriffskontrolle einzusetzen, und vom Druckserver werden keine Dateien bereitgestellt. Wieder ist ein Stand-alone-Server im Freigaben-Modus (share) eine großartige Lösung.
Der Begriff Stand-alone-Server bedeutet, dass er lokale Authentifikation und Zugriffskontrolle für alle Ressourcen bietet, die über ihn zugänglich sind. Allgemein bedeutet das, dass es eine lokale Benutzer-Datenbank geben wird. Technischer ausgedrückt bedeutet es, dass Ressourcen auf der Maschine entweder im SHARE- oder im USER-Modus verfügbar gemacht werden.
Es ist nichts weiter nötig als das Anlegen von Benutzerkonten. Stand-alone-Server bieten keine Netzwerk-Anmelde-Dienste an. Das bedeutet, dass Maschinen, die diesen Server benutzen, keine Domänen-Anmeldung auf ihm durchführen. Welchem Anmeldedienst diese Workstations unterstellt sind, ist unabhängig von dieser Maschine. Es ist aber notwendig, jeden Netzwerk-Benutzer dahingehend „unterzubringen“, dass der zur Anmeldung benutzte Name lokal auf dem Samba-Stand-alone-Server in einen lokal bekannten Benutzernamen übersetzt (gemappt) wird. Es gibt verschiedene Arten, wie dies geschehen kann.
Samba neigt dazu, die Unterscheidung etwas zu verwischen, was den Begriff des Stand-alone-Servers angeht. Dies rührt daher, dass die Authentifikationsdatenbank lokal oder auf einem Netzwerk-Server liegen kann, sogar wenn der Samba-Server aus der SMB-Protokoll-Perspektive kein Mitglied des Domänen-Sicherheitskontexts ist.
Durch die Verwendung von Pluggable Authentication Modules (PAM) und dem Namens-Service-Switcher (NSSWITCH, der die UNIX-Benutzer-Datenbank verwaltet) kann die Wurzel der Authentifikation auf einem anderen Server liegen. Wir würden dies den Authentifikationsserver nennen. Das bedeutet, dass der Samba-Server die lokale UNIX/Linux-Passwort-DB verwenden kann (/etc/passwd oder /etc/shadow), die lokale Datei smbpasswd oder ein LDAP-Backend oder sogar via PAM und Winbind einen anderen CIFS/SMB-Server.
Die Beispiele, ??? und ???, wurden entworfen, um Sie zur Einfachheit zu inspirieren. Es ist oft gar zu leicht, einen hohen Grad an Kreativität anzustreben und damit zu viel Komplexität ins Design von Server und Netzwerk zu bringen.
Die Konfiguration eines Read-only-Datenservers, auf den jeder zugreifen kann, ist sehr einfach. ??? ist die smb.conf-Datei, die dies tut. Nehmen wir an, dass all die Referenz-Dokumente im Verzeichnis /export gespeichert werden und dass die Dokumente einem anderen User als nobody gehören. Keine home-Verzeichnisse werden freigegeben, und es gibt keine Benutzer in der /etc/passwd-UNIX-System-Datenbank. Dies ist ein einfach zu administrierendes System.
Beispiel 8.1. smb.conf für den Referenz-Dokumentationsserver
| # Globale Parameter |
| [global] |
| workgroup = MITTELERDE |
| netbios name = GANDALF |
| security = SHARE |
| passdb backend = guest |
| wins server = 192.168.1.1 |
| [data] |
| comment = Data |
| path = /export |
| guest only = Yes |
Im obigen Beispiel ??? ist der Hostname auf GANDALF gesetzt und die Arbeitsgruppe auf den Namen der lokalen Arbeitsgruppe (MITTELERDE), so dass die Maschine gemeinsam mit Maschinen erscheint, die den Benutzern vertraut sind. Das einzige Passwort-Backend, das benötigt wird, ist das „guest“-Backend, um die Verwendung von standardmäßigen unprivilegierten Benutzernamen zu erlauben. Da es einen WINS-Server im Netz gibt, machen wir natürlich Gebrauch davon.
Die Konfiguration eines einfachen Druckservers ist einfach, wenn Sie die richtigen Tools auf Ihrem System haben.
Annahmen:
Der Druck-Server darf keine Administration erfordern.
Das Druck-Spooling- und Verarbeitungssystem auf unserem Druck-Server wird CUPS sein. (Siehe ???, für mehr Informationen).
Der Druck-Server wird nur Netzwerk-Drucker bedienen. Der Netzwerk-Administrator wird die CUPS-Umgebung korrekt für die Unterstützung der Drucker konfigurieren.
Alle Workstations werden nur Postscript-Treiber verwenden. Der gewählte Druckertreiber ist der mit MS Windows mitgelieferte Treiber für den Apple Color LaserWriter.
In diesem Beispiel wird unser Druck-Server alle hereinkommenden Druckaufträge in der Datei /var/spool/samba spoolen, bis der Job von Samba an den CUPS-Druck-Prozessor weitergegeben werden kann. Da alle hereinkommenden Verbindungen unter dem anonymen (Gast-)Benutzer laufen werden, sind zwei Dinge erforderlich:
Anonymes Drucken aktivieren
Das UNIX/Linux-System muss ein guest-Konto haben. Der Standard hierfür ist üblicherweise das Konto nobody. Um den korrekten Namen zu finden, der für Ihr System zu verwenden ist, führen Sie Folgendes aus:
$ testparm -s -v | grep "guest account"
Stellen Sie sicher, dass dieses Konto in Ihrer System-Passwort-Datenbank existiert (/etc/passwd).
Das Verzeichnis, in das Samba die Datei spoolen wird, muss Schreibrechte für das Gast-Konto aufweisen. Die folgenden Befehle stellen sicher, dass dieses Verzeichnis benutzbar wird:
root# mkdir /var/spool/samba root# chown nobody.nobody /var/spool/samba root# chmod a+rwt /var/spool/samba
Der Inhalt von smb.conf wird in ??? gezeigt.
Beispiel 8.2. smb.conf für das Drucken über den Gast-Zugang
Auf CUPS-Systemen gibt es eine Funktionalität, um „raw“-Daten direkt an den Drucker weiterzugeben, ohne sie zwischenzeitlich durch CUPS-Druck-Filter zu verarbeiten. Wo die Verwendung dieses Modus gewünscht ist, ist es notwendig, ein raw-Druck-Device zu konfigurieren. Es ist außerdem notwendig, den raw mime-Handler in den Dateien /etc/mime.conv und /etc/mime.types zu aktivieren. Lesen Sie dazu auch ???.