Inhaltsverzeichnis
Bevor Sie diesen Abschnitt lesen, sollten Sie sich vergewissern, dass Sie mit der Konfiguration eines Samba Domänen-Controllers, wie in ??? beschrieben, vertraut sind.
Dies ist eines der am schwierigsten zusammenzufassenden Kapitel. Was immer wir auch hier sagen, jemand wird seine eigenen Schlüsse ziehen und/oder mit Erwartungen an das Samba-Team herantreten, die entweder noch nicht erfüllbar sind oder mit einem komplett anderen Ansatz bei weitem effektiver erfüllt werden können. Sollten Sie ein andauerndes Anliegen haben, das nicht in diesem Buch behandelt wird, senden Sie bitte eine E-Mail an John H. Terpstra , in der Sie Ihre Anforderungen und/oder Fragen klar erläutern, und wir werden unser Bestes tun, um Ihnen eine Lösung anzubieten.
Samba-3 ist in der Lage, als Backup-Domänen-Controller (BDC) für einen Samba-Primary-Domänencontroller (PDC) zu arbeiten. Ein Samba-3-PDC kann mit einem LDAP-Konten-Backend arbeiten. Das LDAP-Backend kann entweder ein gängiger Master-LDAP-Server oder ein LDAP-Slave-Server sein. Die Benutzung eines Slave-Servers hat den Vorteil, dass sich in dem Fall, dass der Master nicht verfügbar ist, die Clients noch immer am Netzwerk anmelden können. Dadurch erhält Samba ein hohes Maß an Skalierbarkeit und ist somit eine effektive Lösung für große Organisationen. Wenn Sie einen LDAP-Slave-Server für einen PDC verwenden, werden Sie für die ständige Verfügbarkeit des Master-Servers sorgen müssen - denn wenn der Slave den Master in einem falschen Moment heruntergefahren vorfindet, werden Sie Probleme mit dem Betrieb und der Stabilität haben.
Während es möglich ist, einen Samba-3-BDC mit einem anderen Backend als LDAP zu betreiben, muss dieses Backend doch eine Form von 2-Weg-Übertragung von Veränderungen vom BDC zum Master erlauben. Nur LDAP kann dies zum gegenwärtigen Zeitpunkt.
Die Verwendung einer Nicht-LDAP-Backend-SAM-Datenbank ist teilweise problematisch, weil Domänen-Mitgliedsserver und -Workstations regelmäßig das Passwort ihres Maschinen-Vertrauenskontos ändern. Das neue Passwort wird dann nur lokal gespeichert. Das bedeutet, dass beim Fehlen einer zentral gespeicherten Konten-Datenbank (wie sie mit einer LDAP-basierten Lösung zur Verfügung steht) und BDC-Betrieb von Samba-3 der BDC-Anteil des Konten-Passworts nicht in die SAM des PDCs gelangen kann. Wenn dann die SAM des PDCs auf die BDCs repliziert wird, führt dies zum Überschreiben der SAM, die das veränderte Passwort enthält, was das Domänen-Vertrauensverhältnis aufhebt.
Wenn man die Anzahl der Kommentare und Fragen bedenkt, die sich um die Konfiguration eines BDCs ranken, macht es Sinn, jede mögliche Option zu bedenken und deren Vor- und Nachteile abzuwägen. ??? listet mögliche Konfigurationen für eine PDC/BDC-Infrastruktur auf.
Tabelle 6.1. Optionen zur Verteilung der Domänen-Konten-Datenbank
| PDC-Backend | BDC-Backend | Anmerkungen/Diskussion |
|---|---|---|
Master-LDAP-Server | Slave-LDAP-Server | Die optimale Lösung, die hohe Integrität gewährleistet. Die SAM wird auf einen üblichen LDAP-Master-Server repliziert. |
Einzelner zentraler LDAP-Server | Einzelner zentraler LDAP-Server | Eine funktionierende Lösung ohne Failover-Fähigkeiten. Dies ist eine brauchbare Lösung, jedoch nicht optimal. |
tdbsam | tdbsam + net rpc vampire | Funktioniert NICHT mit Samba-3.0.0; könnte in einer späteren Release implementiert werden. Der Nachteil dieser Lösung ist, dass ein externer Prozess die Integrität der Konten-DB überwacht. Diese Lösung erscheint für Sites interessant, die die Komplexität von LDAP vermeiden wollen. Der Befehl net rpc vampire wird verwendet, um die Domänen-Konten des PDCs mit dem BDC zu synchronisieren. |
tdbsam | tdbsam + rsync | Verwenden Sie diese Konfiguration NICHT. Sie funktioniert nicht, weil die tdb-files geöffnet sind und deren Daten noch nicht auf die Platte geschrieben worden sein könnten. Verwenden Sie rsync, um die tdb-files vom PDC auf den BDC zu synchronisieren. |
smbpasswd Datei | smbpasswd Datei | Verwenden Sie diese Konfiguration NICHT. Dies ist keine elegante Lösung wegen der Verzögerungen bei der Synchronisation. Verwenden Sie rsync, um die tdb-Dateien vom PDC auf den BDC zu synchronisieren. Kann zum Funktionieren gebracht werden, wenn Sie einen cron-Job zur Synchronisation verwenden. |
Ein Domänen-Controller ist eine Maschine, die imstande ist, Anmeldeanforderungen von Netzwerk-Workstations zu beantworten. Microsoft LanManager und IBM LanServer waren zwei frühe Produkte, die diese Fähigkeit zur Verfügung stellten. Diese Technologie wurde als das LanMan Netlogon-Service bekannt.
Als MS Windows NT3.10 veröffentlicht wurde, unterstützte es eine neue Art der Domänen-Verwaltung und damit eine neue Form von Netzwerk-Anmelde-Dienst, die einen erweiterte Funktionalität hat. Dieser Dienst wurde als NT-NetLogon-Service bekannt. Die Natur dieses Dienstes hat sich im Laufe der Evolution von MS Windows NT verändert, und der NT-NetLogon-Service bietet heute ein komplexes Feld von Diensten, die ein kompliziertes Spektrum von Technologien abdecken.
Wenn sich ein Benutzer an einer Windows NT4/200x/XP Professional-Workstation anmeldet, verbindet sich die Workstation mit einem Domänencontroller (Authentifikationsserver), um zu prüfen, ob der Benutzername und das Passwort, die vom Benutzer eingegeben wurden, gültig sind. Wenn die eingegebenen Informationen nicht mit der Konto-Information übereinstimmen, die in der Domänen-Verwaltungsdatenbank (die SAM oder Security-Account-Manager-Datenbank) abgelegt ist, wird ein Satz von Fehler-Codes an die Workstation zurückgeschickt, die die Anmelde-Anfrage gestellt hat.
Wenn das Benutzername/Passwort-Paar überprüft worden ist, antwortet der Domänencontroller (Authentifikationsserver) mit einer vollständigen Aufzählung der Konto-Informationen, die zu diesem Benutzer in der Benutzer- und Maschinen-Konten-DB für diese Domäne gespeichert sind. Diese Informationen enthalten ein komplettes Netzwerk-Zugriffsprofil für den Benutzer, aber schließt jegliche Informationen aus, die für das Desktop-Profil des Benutzers spezifisch sind, oder schließt zu diesem Zweck alle Desktop-Profile für jene Gruppen aus, denen der Benutzer angehört. Die Informationen enthalten Passwort-Zeit-Limits, Überprüfungen auf die Einzigartigkeit des Passworts, Zeitlimits für den Netzwerkzugriff, Information über die Gültigkeit von Konten, Namen der Maschinen, von denen aus der Benutzer auf das Netzwerk zugreifen kann, und vieles mehr. All diese Informationen wurden von allen Versionen von MS Windows NT (3.10, 3.50, 3.51, 4.0) in der SAM gespeichert.
Die Konten-Informationen (Benutzer und Maschine) werden auf Domänencontrollern in zwei Dateien gespeichert; eine enthält die Sicherheitsinformationen, die andere die SAM. Diese werden in gleichnamigen Dateien im Verzeichnis C:\Windows NT\System32\config gespeichert. Dies sind die Dateien, die in die Replikation der SAM involviert sind, wenn Backup-Domänencontroller im Netzwerk vorhanden sind.
Es gibt zwei Situationen, in denen man Backup-Domänencontroller installieren sollte:
Im lokalen Netzwerk des PDCs, wenn es viele Workstations gibt und/oder wenn der PDC generell sehr stark ausgelastet ist. In diesem Fall werden die BDCs Anmelde-Anforderungen übernehmen und mithelfen, die Robustheit des Netzes zu erhöhen.
In jeder entfernten Filiale/Abteilung/Installation, um den WAN-Verkehr zu reduzieren und um die Stabilität der Netzwerk-Operationen zu erhöhen. Das Design des Netzwerks und das strategische Platzieren von BDCs zusammen mit einer Implementierung, die den Client-Netzwerk-Austausch möglichst lokal hält, wird den Bedarf an WAN-Bandbreite minimieren helfen (und damit auch deren Kosten senken).
Die Interaktion des PDC mit seinen BDCs in einem Windows NT4-Environment ist es wert, hier erwähnt zu werden. Der PDC enthält die Master-Kopie der SAM. Falls ein Administrator eine Änderung an der Benutzer-Konten-Datenbank vornimmt, während er physisch im LAN des PDCs ist, wird die Veränderung wahrscheinlich direkt am PDC durchgeführt, anstatt in der Master-Kopie der SAM. Sollte diese Veränderung in einer Zweigstelle durchgeführt werden, wird die Änderung wahrscheinlich in einem Delta-File auf dem lokalen BDC gespeichert. Der BDC wird dann einen Trigger an den PDC senden, um die Synchronisation der SAM zu beginnen. Dann wird der PDC das Delta-File vom BDC anfordern und es auf die Master-SAM anwenden. Danach wird der PDC alle BDCs in der Domäne kontaktieren und sie per Trigger veranlassen, sich das Update zu holen und es in ihre eigene Kopie der SAM einzuspielen.
Samba-3 kann nicht an wirklicher SAM-Replikation teilnehmen und ist daher nicht geeignet, exakt dieselben Protokolle zu verwenden wie MS Windows NT4. Ein Samba-3-BDC wird keine SAM-Update-Delta-Files generieren. Der Samba-3-BDC wird nicht mit einem PDC (NT4 oder Samba) zusammenarbeiten, um die SAM mittels Delta-Files von BDCS zu synchronisieren.
Samba-3 kann nicht als BDC für einen MS Windows NT4-PDC arbeiten, und Samba-3 kann nicht korrekt als PDC für einen MS Windows NT4-BDC arbeiten. Sowohl Samba-3 als auch MS Windows NT4 können als BDC für ihren eigenen Typ von PDC arbeiten.
Der BDC speichert eine Read-only-Version der SAM, mit deren Hilfe er Netzwerk-Anmelde-Anfragen bearbeiten und User authentifizieren kann. Der BDC kann damit fortfahren, diesen Dienst anzubieten, insbesondere dann, wenn die WAN-Verbindung zum PDC unterbrochen ist. Ein BDC spielt eine sehr wichtige Rolle, sowohl bei der Aufrechterhaltung der Domänen-Sicherheit als auch für die Integrität des Netzwerks.
Falls der NT4-PDC außer Betrieb genommen werden muss oder falls er ausfällt, kann einer der NT4-BDCs zu einem PDC „befördert“ werden. Wenn dies geschieht, während der originale NT4-PDC online ist, wird dieser automatisch zu einem NT4-BDC „degradiert“. Dies ist ein wichtiger Aspekt des Managements von Domänencontrollern. Es sollte bemerkt werden, dass Samba-3-BDCs NICHT auf diese Art zu PDCs befördert werden können, da die nötige Rekonfiguration von Samba Änderungen an smb.conf bedingt.
Seit der Version 2.2 unterstützt Samba offiziell Domänen-Anmeldungen für alle aktuellen Windows-Clients, einschließlich Windows NT4, 2003 und XP Professional. Um Samba als PDC zu betreiben, müssen einige Parameter im [global]-Abschnitt von smb.conf gesetzt werden. Sehen Sie sich ??? an. Dies ist ein Beispiel für die auf jeden Fall erforderlichen Einstellungen.
Beispiel 6.1. Minimale smb.conf für einen PDC in Verbindung mit einem BDC-LDAP-Server auf dem PDC
| workgroup = MITTELERDE |
| passdb backend = ldapsam://localhost:389 |
| domain master = yes |
| domain logons = yes |
Einige andere Dinge wie eine [homes]- und eine [netlogon]-Freigabe müssen ebenfalls in Verbindung mit Einstellungen für den Profil-Pfad, das Home-Verzeichnis des Benutzers usw. gesetzt werden. Dies wird in diesem Kapitel nicht behandelt; mehr Informationen dazu finden Sie in ???.
Wenn man einen Master- und einen Slave-LDAP-Server konfiguriert, ist es ratsam, den Master-LDAP-Server als PDC und die Slave-LDAP-Server als BDCs zu verwenden. Es ist nicht unbedingt notwendig, Slave-LDAP-Server zu verwenden, auch wenn es viele Administratoren tun werden wollen, um die Redundanz zu erhöhen. Natürlich können ein oder mehrere BDCs jeglichen Slave-LDAP-Server nutzen. Auch dann ist es wieder möglich, einen einzelnen LDAP-Server für das ganze Netzwerk zu verwenden.
Wenn man einen Master-LDAP-Server konfiguriert, der Slave-LDAP-Server haben wird, darf man nicht vergessen, dies in der Datei /etc/openldap/slapd.conf zu konfigurieren. Denken Sie daran, dass der DN eines Server-Zertifikats das CN-Attribut zur Benennung des Servers verwenden muss und dass CN den vollen Domain-Namen (FQDN = fully qualified domain name) des Servers beinhalten muss. Weitere Aliases und Wildcards können in der subjectAltName-Zertifikatserweiterung abgelegt werden. Die Kommunikation zwischen LDAP-PDC und LDAP-BDC muss komplett verschlüsselt ablaufen. Dazu können Sie Zertifikate verwenden. Mehr Details zu Server-Zertifikaten finden Sie in der RFC2830.
Installieren Sie keinen Samba-PDC auf einem OpenLDAP-Slave-Server. Das Hinzufügen von Client-Maschinen zur Domäne wird in dieser Konfiguration fehlschlagen, da die Veränderung am Maschinen-Konto im LDAP-Baum auf dem Master-LDAP-Server stattfinden muss. Dies wird nicht schnell genug auf den Slave-Server repliziert, den der PDC abfragt. Daher gibt es auf der Client-Maschine eine Fehlermeldung, die besagt, dass es nicht möglich sei, die Konto-Informationen richtig zu setzen. Das Maschinen-Konto wird auf dem LDAP-Server angelegt, aber die Passwort-Felder werden leer bleiben. (Anmerkung: Zur Lösung dieser Problematik wurde mit Samba 3.0.1 der smb.conf-Parameter ldap replication sleep eingeführt.)
Mögliche PDC/BDC-plus-LDAP-Konfigurationen beinhalten:
PDC+BDC -> Ein zentraler LDAP-Server
PDC -> LDAP-Master-Server, BDC -> LDAP-Slave-Server
PDC -> LDAP-Master mit einem sekundären Slave-LDAP-Server
BDC -> LDAP-Master mit einem sekundären Slave-LDAP-Server
PDC -> LDAP-Master mit einem sekundären Slave-LDAP-Server
BDC -> LDAP-Slave-Server mit einem sekundären Master-LDAP-Server
Um eine so genannte Fall-Back-Konfiguration zu haben (sekundärer LDAP-Server), würde man den sekundären LDAP-Server in der Datei smb.conf so angeben wie in ???.
Beispiel 6.2. Mehrere LDAP-Server in smb.conf
| ... |
| passdb backend = |
| ldapsam:"ldap://master.quenya.org ldap://slave.quenya.org" |
| ... |
Seit der Veröffentlichung von MS Windows 2000 und Active Directory werden diese Informationen nun in einem Verzeichnis abgelegt, das repliziert werden kann und für das die Administration teilweise oder vollständig delegiert werden kann. Samba-3 kann NICHT Domänencontroller innerhalb eines Active-Directory-Baums sein und es kann NICHT ein Active-Directory-Server sein. Das bedeutet, dass Samba-3 auch NICHT als BDC für einen Active-Directory-DC arbeiten kann.
Jede Maschine, die DC für die Domäne MITTELERDE ist, muss den NetBIOS-Gruppen-Namen MITTELERDE<#1c> am WINS-Server registrieren und/oder diesen Namen im LAN per Broadcast verteilen. Der PDC registriert zusätzlich den eindeutigen NetBIOS-Namen MITTELERDE<#1b> am WINS-Server. Der Namenstyp <#1b> ist normalerweise für den Domänen-Master-Browser reserviert, eine Rolle, die nichts mit irgendetwas in Bezug auf Authentifikation zu tun hat; aber die Microsoft-Domänen-Implementation verlangt, dass der Domänen-Master-Browser auf derselben Maschine läuft wie der PDC.
Wo kein WINS-Server verwendet wird, müssen Namensregistrierungen mittels Broadcast reichen. In ??? finden Sie mehr Informationen zu TCP/IP-Netzwerk-Protokollen und dazu, wie SMB/CIFS-Namen verwendet werden.
Es gibt zwei unterschiedliche Mechanismen, um einen DC zu finden. Je nachdem, ob NetBIOS über TCP/IP aktiviert ist oder nicht, wird die eine oder andere Methode verwendet.
Wenn NetBIOS über TCP/IP deaktiviert ist, beinhaltet jegliche Namensauflösung die Verwendung von DNS, von Broadcasts über UDP und der ADS-Kommunikationstechnologie. In einer solchen Umgebung brauchen alle Maschinen entsprechene DNS-Einträge. Mehr dazu erfahren Sie in ???.
Eine MS Windows NT4/200x/XP Professional-Workstation in der Domäne MITTELERDE, die einen lokalen Benutzer authentifizieren will, muss den DC für MITTELERDE finden. Sie macht das über eine NetBIOS-Namens-Abfrage für den Gruppen-Namen MITTELERDE<#1c>. Die Workstation geht davon aus, dass jede Maschine, die auf diese Anfrage antwortet, ein DC ist und Anmelde-Anfragen beantworten kann. Um keine Sicherheitslücken zu öffnen, authentifizieren die Workstation und der gewählte DC einander gegenseitig. Danach sendet die Workstation die Benutzerdaten (Name/Passwort) zur Überprüfung an den lokalen DC.
Eine MS Windows NT4/200x/XP Professional-Workstation in dem Realm quenya.org, die die Benutzer-Authentifikation beeinflussen will, wird den DC dadurch ausfindig machen, dass sie DNS-Server nach dem Eintrag _ldap._tcp.pdc.ms-dcs.quenya.org abfragt. Mehr Informationen zu diesem Thema finden Sie in ???.
Das Einrichten eines BDCs erfordert einige Schritte, um den Samba-Server vor der ersten Ausführung von smbd vorzubereiten. Diese Schritte sind die folgenden:
Die Domänen-SID muss auf dem PDC und dem BDC gleich sein. In Samba-Versionen vor 2.2.5 wurde die SID in der Datei private/MACHINE.SID gespeichert. Jetzt wird die Domänen-SID in der Datei private/secrets.tdb gespeichert. Diese Datei ist einzigartig für jeden Server und kann nicht vom PDC auf den BDC kopiert werden; der BDC wird bei jedem Start eine neue SID generieren. Er wird die Domänen-SID des PDC mit der neu angelegten BDC-SID überschreiben. Es gibt eine Prozedur, die es dem BDC erlaubt, die Domänen-SID zu beziehen. Diese wird hier beschrieben.
Um die Domänen-SID vom PDC oder einem existenten BDC zu beziehen und sie in secrets.tdb zu speichern, führen Sie Folgendes aus:
root# net rpc getsid
Die Spezifikation der Option ldap admin dn ist zwingend. Dies erfordert, dass das LDAP-Administrationspasswort in secrets.tdb mit smbpasswd -w mysecret gesetzt wird.
Es muss entweder ldap suffix oder ldap idmap suffix in der Datei smb.conf angegeben werden.
Die UNIX-Benutzer-Datenbank muss vom PDC auf den BDC synchronisiert werden. Dies bedeutet, dass sowohl /etc/passwd als auch /etc/group vom PDC auf den BDC repliziert werden müssen. Dies kann manuell geschehen, wenn immer Veränderungen vorgenommen werden. Alternativ kann der PDC als NIS-Master-Server und der BDC als NIS-Slave-Server angelegt werden. Den BDC als reinen NIS-Client aufzusetzen wäre nicht genug, da der BDC nicht auf seine Benutzer-Datenbank zugreifen kann, sollte der PDC ausfallen. NIS ist auf keinen Fall der einzige Weg, um Passwörter zu synchronisieren. Eine Lösung mit LDAP würde genauso funktionieren.
Die Samba-Passwort-Datenbank muss vom PDC auf den BDC repliziert werden. Obwohl es möglich ist, die Datei smbpasswd mit dem Befehlen rsync und ssh zu synchronisieren, ist diese Methode unbrauchbar und fehlerhaft und wird daher nicht empfohlen. Eine bessere Lösung ist es, Slave-LDAP-Server für jeden BDC, und einen Master-LDAP-Server für den PDC aufzusetzen.
Die netlogon-Freigabe muss vom PDC auf den BDC repliziert werden. Dies kann manuell geschehen, wenn Veränderungen vorgenommen werden, oder es kann automatisch geschehen, mit Hilfe eines cron-Jobs, der die Verzeichnisstruktur in dieser Freigabe mit einem Werkzeug wie rsync repliziert.
Schlussendlich muss der BDC von den Workstations gefunden werden. Dazu konfigurieren Sie Samba, wie in ??? gezeigt ist.
Beispiel 6.3. Minimales Setup für einen BDC
| workgroup = MITTELERDE |
| passdb backend = ldapsam:ldap://slave-ldap.quenya.org |
| domain master = no |
| domain logons = yes |
| idmap backend = ldap:ldap://slave-ldap.quenya.org |
Diese Einträge nehmen Sie im Abschnitt [global] von smb.conf des BDCs vor. Dies veranlasst den BDC, nur den Namen SAMBA<#1c> am WINS-Server zu registrieren. Das ist kein Problem, da der Name SAMBA<#1c> ein NetBIOS-Gruppen-Name ist, der von mehreren Maschinen registriert werden soll. Der Parameter domain master = no zwingt den BDC dazu, SAMBA<#1b> nicht zu registrieren, der als einzigartiger NetBIOS-Name für den PDC reserviert ist.
Der Parameter idmap backend wird das Werkzeug winbindd dazu veranlassen, die LDAP-Datenbank zur Auflösung aller UIDs und GIDs für UNIX-Konten zu verwenden.
Samba-3 hat eine neue Möglichkeit eingeführt, IDs zu „mappen“. Diese erlaubt unter anderem eine größere Flexibilität im Umgang mit UIDs und GIDs in Bezug auf NT-Domänen-User- und Gruppen-SIDs. Eine der neuen Funktionalitäten gewährleistet explizit, dass UNIX/Linux-UIDs und -GIDs konsistent auf dem PDC, allen BDCs und allen Domänen-Mitgliedsservern sind. Der Parameter, der dies kontrolliert, heißt idmap backend. Bitte konsultieren Sie die Manpage zu smb.conf für mehr Informationen zu seinem Verhalten.
Die Verwendung der Option idmap backend = ldap:ldap://master.quenya/org auf einem BDC macht nur Sinn, wenn ldapsam auf einem PDC eingesetzt wird. Der Zweck eines auf LDAP basierenden idmap-Backends ist es, einem Domänen-Mitglied (das kein eigenes passdb-Backend hat) die Verwendung von winbindd zu gestatten, um Windows-Netzwerk-Benutzer und -Gruppen zu UID/GIDs aufzulösen. Anders gesagt: Diese Option ist für die Verwendung auf Domänen-Mitgliedsservern gedacht.
Da dies ein ziemlich neues Feld für Samba ist, gibt es noch nicht allzu viele Beispiele, auf die wir verweisen können. Updates werden veröffentlicht werden, sobald sie verfügbar werden, und können in zukünftigen Samba-Releases oder auf der Samba-Website http://samba.org gefunden werden.
Dieses Problem tritt auf, wenn die passdb-Dateien (SAM) von einem zentralen Server aus kopiert werden, aber der lokale BDC als PDC arbeitet. Dies führt zu Updates der Passwörter der lokalen Maschinen-Vertrauenskonten in der lokalen SAM. Solche Updates werden nicht zum zentralen Server zurückkopiert. Das neuere Maschinen-Konten-Passwort wird damit überschrieben, sobald die SAM vom PDC neu kopiert wird. Das Ergebnis ist, dass die Domänen-Mitgliedsmaschine beim Start keine Übereinstimmung zwischen ihren eigenen Passwörtern und denen in der Datenbank findet, und da der Sicherheits-Check beim Start daher fehlschlägt, wird diese Maschine keine Anmelde-Versuche zulassen und es wird der Fehler gemeldet, dass das Konto abgelaufen ist.
Die Lösung ist, ein robusteres passdb-Backend zu verwenden, wie z.B. das ldapsam-Backend, und mit diesem für jeden BDC einen Slave-LDAP-Server aufzusetzen sowie einen Master-LDAP-Server für den PDC.
Nein. Die nativen NT4-SAM-Replikationsprotokolle wurden noch nicht vollständig implementiert.
Kann ich die Vorteile eines BDCs mit Samba nutzen? Ja, jedoch nur mit einem Samba-PDC. Das Hauptargument zur Einrichtung eines BDCs ist die gesteigerte Verfügbarkeit. Wenn der PDC ein Samba-Host ist, kann ein zweiter Samba-Host aufgesetzt werden, um Anmelde-Anfragen zu behandeln, wenn der PDC nicht verfügbar ist.
Die Replikation der Datei smbpasswd ist eine sehr empfindliche Angelegenheit. Sie muss geschehen, wann immer Änderungen an der SAM durchgeführt werden. Die Passwort-Änderungen jeden Benutzers werden in der smbpasswd durchgeführt und müssen auf den BDC repliziert werden. Daher ist die Replikation sehr oft notwendig.
Da die Datei smbpasswd Klartext-Passwort-Äquivalente enthält, darf sie nicht unverschlüsselt über das Netz versandt werden. Die beste Art der smbpasswd-Replikation ist die Verwendung des Werkzeugs rsync. rsync kann ssh als Transport-Tunnel nutzen. ssh selbst kann wiederum so konfiguriert werden, dass es only-Transfers mittels rsync erlaubt, ohne vom Benutzer die Eingabe eines Passworts zu verlangen.
Wie bereits einige Male zuvor erwähnt wurde, ist diese Methode fehlerhaft und unvollständig. DIe Synchronisation der Maschinen-Vertrauenskonten gerät aus dem Tritt, was in einer unbrauchbaren Domäne resultiert. Diese Methode wird nicht empfohlen. Verwenden Sie stattdessen LDAP.
Die einfache Antwort lautet: Ja. Der pdb_ldap-Code von Samba ermöglicht es, sich mit einem Replika-LDAP-Server zu verbinden, und folgt außerdem Referrals und Rebinds zum Master, wann immer Samba Änderungen an der Datenbank vornehmen muss. (Normalerweise sind BDCs read-only, daher wird dies nicht oft vorkommen).