Inhaltsverzeichnis
- Eigenschaften und Vorzüge
- Grundlagen der Domänen-Verwaltung
- Domänen-Verwaltung Beispielkonfiguration
- ADS-Domänen-Verwaltung mit Samba
- Konfiguration der Domänen- und Netzwerk-Anmeldung
- Häufige Fehler
- $ darf nicht im Maschinen-Namen vorkommen
- Der Anschluss an die Domäne scheitert an einem bereits existierenden Maschinen-Konto
- Das System kann Sie nicht anmelden (C000019B)
- Das Maschinen-Vertrauenskonto ist nicht erreichbar
- Konto deaktiviert
- Domänencontroller nicht verfügbar
- Ich kann mich nicht an einer Domänen-Mitglieds-Workstation anmelden, nachdem ich mich einer Domäne angeschlossen habe
Viele nähern sich der Thematik der MS-Windows-Netzwerke mit falschen Vorstellungen. Das ist nicht schlimm, weil es uns anderen viele Möglichkeiten gibt, Hilfe zu bieten. Diejenigen, die wirklich helfen wollen, sind gut beraten, sich mit den bereits vorhandenen Informationen und der Dokumentation vertraut zu machen.
Wir möchten Ihnen empfehlen, diesen Abschnitt der Samba-Dokumentation gar nicht erst anzugehen, solange Sie nicht einige Grundlagen beherrschen. MS-Windows-Netzwerke sind gegenüber Fehlkonfigurationen nicht gerade tolerant. Anwender von MS-Windows-Netzwerken beschweren sich oft über dauernde Unannehmlichkeiten infolge „kaputter“ Netzwerk-Konfigurationen. Für viele jedoch beginnt die Arbeit mit MS-Windows-Netzwerken mit einem Domänencontroller, von dem erwartet wird, dass er auf irgendeine magische Art alle Netzwerk-Probleme lösen kann.
Das Diagramm in ??? zeigt eine klassische Umgebung unter Verwendung einer MS-Windows-Sicherheitsdomäne (MS Windows Domain Security network environment). Die Workstations A, B und C repräsentieren eine Vielzahl physischer MS-Windows-Netzwerk-Clients.
In der Samba-Mailing-liste kann man leicht viele weit verbreitete Netzwerk-Themen erkennen. Wenn Sie mit den folgenden Themen nicht vertraut sind, wird es helfen, die entsprechenden Abschnitte dieses HOWTOs zu lesen. Dies sind die häufigsten Ursachen für Probleme mit MS-Windows-Netzwerken:
Grundlegende TCP/IP-Konfiguration
NetBIOS Namensauflösung
Authentifizierungskonfiguration
Benutzer- und Gruppenkonfiguration
Grundlegende Datei- und Verzeichnisrechte in UNIX/Linux
Zusammenarbeit von MS-Windows-Clients in einer Netzwerkumgebung
Lassen Sie sich nicht abschrecken; an der Oberfläche erscheint ein MS-Windows-Netzwerk so simpel, dass es jeder einrichten kann. Tatsächlich ist es aber keine gute Idee, ein MS-Windows-Netzwerk ohne entsprechende Übung und Vorbereitung aufzusetzen. Aber lassen Sie uns unser erstes unauslöschliches Prinzip aus dem Weg räumen: Es ist in Ordnung, Fehler zu machen! Am richtigen Ort, zur richtigen Zeit sind Fehler die Essenz des Lernens. Es ist jedoch ganz und gar nicht in Ordnung, Fehler zu machen, die Produktivitätseinbußen verursachen und einer Organisation einen vermeidbaren finanziellen Verlust zufügen.
Wo ist der rechte Ort für Fehler? Nur dort, wo kein Schaden entstehen kann. Wenn Sie Fehler machen wollen, dann machen Sie diese bitte in einer Test-Umgebung, abseits von anderen Benutzern, auf eine Art, die anderen keine Probleme bereitet. Lernen Sie in einem Test-Netzwerk.
Was ist der Hauptnutzen der Microsoft-Domänen-Sicherheit?
In einem Wort: Single Sign On oder, noch kürzer, SSO. Für viele ist dies der "Heilige Gral" des Windows-NT-Netzwerks und darüber hinaus. SSO erlaubt Benutzern eines gut konzipierten Netzwerks, sich auf jeder Workstation anzumelden, die Mitglied jener Domäne ist, zu der ihr Benutzer-Konto gehört (bzw. auf einer Workstation, die Mitglied einer Domäne ist, die ein geeignetes Vertrauensverhältnis zur eigenen Domäne hat). Dadurch können sie sich am Netzwerk anmelden und auf dessen Ressourcen zugreifen (Freigaben, Dateien und Drucker), als ob sie an ihrem Stamm-Rechner sitzen würden. Dies ist ein Merkmal des Domänen-Sicherheitsprotokolls.
Die Vorzüge von Domänen-Sicherheit eröffnen sich jenen, die einen Samba-PDC verwenden. Eine Domäne stellt einen eindeutigen Identifizierungsschlüssel für die Netzwerk-Sicherheit (network security identifier), kurz SID, zur Verfügung. Identifizierungs-Schlüssel für die Domänen-Benutzer- und -Gruppen-Sicherheit umfassen den SID plus einem relativen Identifizierungsschlüssel (RID), der sich eindeutig auf das jeweilige Konto bezieht. Benutzer- und Gruppen-SIDs (Netzwerk-SID plus RID) können dazu verwendet werden, so genannte Zugriffskontroll-Listen, besser bekannt als ACLs (Access Control Lists) zu erstellen, die, bezogen auf einzelne Netzwerk-Ressourcen, eine organisationsweite Zugriffskontrolle ermöglichen. UNIX-Systeme erkennen nur lokale SIDs.
Anmerkung
Netzwerk-Clients einer MS-Windows-Sicherheitsdomänen-Umgebung müssen Domänen-Mitglieder sein, um Zugriff auf die erweiterten Funktionalitäten zu erlangen. Eine Domänen-Mitgliedschaft beinhaltet mehr, als den Arbeitsgruppen-Namen auf den Domänen-Namen zu setzen. Sie erfordert das Anlegen eines Domänen-Kontos für die Workstation (genannt Maschinen-Konto). Lesen Sie ??? für mehr Informationen dazu.
Die folgenden Funktionalitäten sind in der Release Samba 3 neu:
Windows NT4-Vertrauensdomänen
Das Hinzufügen von Benutzern via „User Manager for Domains“. Dies kann von jedem MS-Windows-Client mit dem Nexus.exe-Toolkit für Windows 9x/Me oder mit dem SRVTOOLS.EXE-Paket für MS Windows NT4/200x/XP-Plattformen durchgeführt werden. Diese Pakete sind auf der Microsoft-Website verfügbar.
Die Einführung mehrerer austauschbarer Benutzer-Konten-Backends (Authentifizierungs-Backends). Im Falle der Verwendung von LDAP als Backend profitiert Samba-3 von den Vorzügen eines Backends, das verteilt und repliziert werden kann sowie hochgradig skalierbar ist.
Die Einführung voller Unicode-Unterstützung. Dies vereinfacht die Unterstützung internationaler Locales. Es ermöglicht außerdem die Verwendung von Protokollen, die Samba-2.2.x bereits unterstützte, jedoch mangels voller Unicode-Unterstützung nicht verwenden konnte.
Die folgenden Funktionalitäten werden von Samba-3 NICHT zur Verfügung gestellt:
SAM-Replikation mit MS-Windows-NT4-Domänencontrollern (z.B. ein Samba-PDC und ein Windows NT-BDC oder vice versa). Dies bedeutet, dass Samba NICHT als BDC arbeiten kann, wenn der PDC Microsoft-basiert ist. Weiters bedeutet es, dass Samba Kontodaten NICHT auf MS-BDCs repliziert.
Das Arbeiten als Windows 2000-Domänencontroller (z.B. Kerberos und Active Directory).
Die Windows 200x/XP MMC-(Computer Management-)Konsole kann NICHT zum Betrieb eines Samba-3-Servers verwendet werden. Dazu können nur der MS Windows NT4 Domain Server Manager und der MS Windows NT4 Domain User Manager verwendet werden. Beide sind Bestandteil des später erwähnten SVRTOOLS.EXE-Pakets.
Windows 9x/Me/XP Home-Clients sind keine vollwertigen Domänen-Mitglieder - aus den hier erwähnten Gründen. Das Protokoll zur Unterstützung von Windows 9x/Me-Netzwerk(-Domänen)-Logons unterscheidet sich völlig von dem zur Unterstützung von NT4/Windows 200x-Netzwerk(-Domänen)-Logons und wurde einige Zeit offiziell unterstützt. Diese Clients verwenden die alten LanMan-Netzwerk-Logon-Mechanismen, die in Samba ungefähr seit Serie Samba-1.9.15 unterstützt werden.
Samba-3 implementiert die Zuweisung von Gruppen zwischen Windows-NT-Gruppen und UNIX-Gruppen (dies ist wirklich sehr schwierig in kurzen Worten zu erklären). Dies wird umfassender in ??? behandelt.
Samba-3 muss (wie ein MS Windows NT4-PDC oder ein Windows 200x-AD) Benutzer- und Maschinen-Vertrauenskonten in einem passenden Daten-Backend ablegen (siehe ???). Mit Samba-3 können dazu mehrere Backends verwendet werden. Eine vollständige Erläuterung von Konten-Datenbank-Backends finden Sie in ???.
Im Laufe der Jahre hat die allgemeine Auffassung von Domänen-Verwaltung eine fast schon mystische Gestalt angenommen. Bevor wir zu einem kurzen Überblick über Domänen-Verwaltung verzweigen, beschreiben wir die drei grundsätzlichen Typen von Domänencontrollern.
Primäre Domänencontroller
Backup-Domänencontroller
ADS-Domänencontroller
Der primäre Domänencontroller oder PDC spielt eine wichtige Rolle in MS Windows NT4. In der Windows 200x-Domänenverwaltungsarchitektur wird diese Rolle von Domänencontrollern übernommen. Die „Folklore“ schreibt vor, dass dies wegen seiner Rolle im MS Windows-Netzwerk der stärkste und schnellste Rechner im Netz sein sollte. So seltsam das an dieser Stelle klingen mag, der Wunsch nach guter allgemeiner Netzwerk-Performance erfordert zwingend, dass die gesamte Infrastruktur ausgewogen gestaltet wird. Es ist ratsam, mehr in Stand-alone-(Domänen-Mitglieds-)Server zu investieren als in die DCs.
Im Falle von MS Windows NT4-Domänen ist es der PDC, der eine neue Datenbank zur Domänen-Verwaltungs initiiert. Diese bildet einen Teil der Windows-Registrierung namens Security Account Manager (SAM). Sie spielt eine Schlüsselrolle bei der NT4-artigen Domänen-Benutzer-Authentifizierung und in der Synchronisation der Domänen-Authentifizierungsdatenbank mit Backup-Domänencontrollern.
In MS Windows 200x-Server-basierten Active-Directory-Domänen initiiert ein Domänencontroller eine mögliche Hierarchie von Domänencontrollern, von denen jeder seinen eigenen delegierten Verwaltungsbereich erhält. Der Master-Domänencontroller hat die Möglichkeit, jeden „downstream controller“ zu übergehen, jedoch hat ein „downline controller“ nur die Kontrolle über seine „downline“. Mit Samba-3 kann diese Funktionalität durch Verwendung eines Konten-Backends auf LDAP-Basis implementiert werden.
Neu in Samba-3 ist die mögliche Verwendung einer Backend-Datenbank, die dieselben Daten enthält wie eine NT4-artige SAM-Datenbank (eines der Registrierungs-Files)[1].
Der Backup-Domänencontroller oder BDC spielt eine Schlüsselrolle bei der Beantwortung von Netzwerk-Authentifizierungsanfragen. Der BDC ist darauf ausgerichtet, Logon-Anfragen vor dem PDC zu beantworten. In einem Netzwerk-Segment, das sowohl einen BDC als auch einen PDC beinhaltet, wird der BDC meist die Netzwerk-Logon-Anfragen bedienen. Der PDC wird diese dann beantworten, wenn der BDC überlastet ist. Ein BDC kann zum PDC ernannt werden. Wenn der PDC online ist, wenn der BDC zum PDC ernannt wird, wird der vorige PDC automatisch zum BDC zurückgestuft. Mit Samba-3 ist dieser Vorgang nicht automatisch; der PDC und der BDC müssen von Hand konfiguriert werden.
Bei der Installation von NT 4 wird die Entscheidung darüber getroffen, welcher Art von Maschine der Server angehören soll. Es ist möglich, einen BDC zu einem PDC zu ernennen und umgekehrt. Die einzige Möglichkeit, einen DC in einen Domänen-Mitgliedsserver oder einen Stand-alone-Server umzuwandeln, ist, ihn neu zu installieren. Die Wahlmöglichkeiten bei der Installation sind:
Primärer Domänencontroller / PDC der Server, der die Domänen-SAM begründet.
Backup Domänencontroller / BDC ein Server, der eine Kopie der Domänen-SAM anlegt.
Domänen-Mitgliedsserver ein Server, der keine Kopie der Domänen-SAM hält, jedoch seine Authentifizierungsinformationen von einem Domänencontroller bezieht.
Stand-alone-Server ein Server, der keine Rolle in der Synchronisation der Domänen-SAM spielt, seine eigene Authentifizierungsdatenbank führt und auch keine Rolle in der Domänen-Sicherheit übernimmt.
Bei der Verwendung von MS Windows 2000 wird die Konfiguration der Domänen-Verwaltung nach der Installation des Servers vorgenommen. Samba-3 kann als vollwertiges Mitglied einer Windows-200x-Server-Active-Directory-Domäne arbeiten.
Neu in Samba-3 ist die Fähigkeit, als vollwertiger MS-Windows-NT4-Domänencontroller zu arbeiten, mit Ausnahme der SAM-Replikationskomponenten. Bitte beachten Sie, dass Samba-3 auch die MS Windows 200x-Domänen-Verwaltungsprotokolle unterstützt.
Zum jetzigen Zeitpunkt ist jegliches Anzeichen dafür, dass Samba-3 als Domänencontroller im nativen ADS-Modus arbeiten kann, begrenzt und völlig experimenteller Natur. Diese Funktionalität sollte nicht verwendet werden, bis das Samba-Team formal die Unterstützung dafür anbietet. Sobald dies erfolgt, wird die Dokumentation revidiert werden, um alle Konfigurations- und Verwaltungsanforderungen vollständig widerzuspiegeln. Samba kann als NT4-DC in einer Windows 2000/XP-Umgebung arbeiten. Jedoch gibt es einige Kompromisse:
- Es gibt keine Maschinen-Policy-Dateien.
- Es gibt keine Gruppen-Policy-Objekte.
- Es gibt keine synchron ausgeführten AD-Logon-Skripts.
- Die Active Directory-Management-Tools können nicht zur Benutzer- und Maschinen-Verwaltung verwendet werden.
- Änderungen an der Registrierung prägen die Hauptregistrierung, während mit AD keine bleibenden Veränderungen hinterlassen werden.
- Ohne AD kann die Funktion, spezifische Applikationen für spezifische Benutzer/Gruppen zu exportieren, NICHT genutzt werden.
Es gibt zwei Arten, wie MS Windows-Maschinen miteinander, mit anderen Servern und DCs zusammenarbeiten können: entweder als Stand-alone-Systeme, üblicherweise als Workgroup-Mitglieder bezeichnet, oder als vollwertige Teilnehmer eines Sicherheitssystems, die in der Regel als Domain-Mitglieder bezeichnet werden.
Beachten Sie, dass eine Workgroup-Mitgliedschaft keine spezielle Konfiguration erfordert, außer dass die Maschine so konfiguriert werden muss, dass die Netzwerk-Konfiguration einen gebräuchlichen Namen für den Workgroup-Eintrag enthält. Oft wird hierfür der Name WORKGROUP verwendet. Bei dieser Art der Konfiguration gibt es keine Maschinen-Vertrauenskonten und jegliches Konzept von Mitgliedschaft ist darauf beschränkt, dass alle in der Netzwerkumgebung auftauchenden Maschinen als logische Gruppe erscheinen. Zur Wiederholung und Klärung: Der Workgroup-Modus beinhaltet keine Maschinen-Sicherheitskonten.
Rechner, die Domänen-Mitglied sind, haben ein Maschinen-Konto in der Domänen-Konten-Datenbank. Eine spezielle Prozedur muss auf jeder Maschine ausgeführt werden, um eine Domänen-Mitgliedschaft zu erwerben. Diese Prozedur, die nur vom lokalen Administrator-Konto aus erfolgen kann, legt das Domänen-Maschinen-Konto an (falls es noch nicht existiert), und initialisiert dieses Konto. Wenn der Client sich erstmals in der Domäne anmeldet, wird ein Maschinen-Passwort-Wechsel ausgelöst.
Anmerkung
Wird Samba als Domänencontroller konfiguriert, müssen alle MS Windows NT4/200x/XP Professional-Clients als Domänen-Mitglieder konfiguriert werden, um den sicheren Betrieb des Netzwerks zu gewährleisten. Wenn eine Maschine nicht zum Domänen-Mitglied gemacht wird, wird sie sich wie eine Arbeitsgruppen(Stand-alone)-Maschine verhalten. Lesen Sie ??? für Informationen zur Domänen-Mitgliedschaft.
Folgendes ist nötig, um Samba-3 als einen MS Windows NT4-artigen PDC für MS-Windows-NT4/200x/XP-Clients zu konfigurieren:
Konfiguration der Basisdienste TCP/IP und MS Windows Netzwerk
Konsistente Konfiguration der Namensauflösung [2]
Domänen-Logins für Windows NT4/200x/XP Professional-Clients
Konfiguration von Roaming Profiles oder explizite Konfiguration, um die Verwendung lokaler Profile zu erzwingen
Konfiguration von Netzwerk/System-Policies
Hinzufügen und Verwalten von Domänen-Benutzer-Konten
Konfiguration von MS Windows-Clients als Domänen-Mitglieder
Die folgenden Voraussetzungen sind erforderlich, um MS Windows 9x/Me-Clients bedienen zu können:
Konfiguration der Basisdienste TCP/IP und MS Windows Netzwerk
Netzwerk-Login-Konfiguration (da Windows 9x/Me/XP Home technisch gesehen keine Domänen-Mitglieder sind, haben sie auch nicht wirklich als solche an den Sicherheitsaspekten von Domänen Anteil) .
Konfiguration von Roaming Profiles
Konfiguration der Verwaltung der System Policy
Installation des Netzwerk-Treibers „Client for MS Windows Networks“ und dessen Konfiguration, um sich in der Domäne anzumelden
Setzen der Windows 9x/Me-Clients auf User Level Security, wenn es erwünscht ist, jeglichen Client-Zugriff auf Freigaben entsprechend der Domänen-Benutzer/Gruppen zu verwalten
Hinzufügen und Verwalten von Domänen-Benutzer-Konten
Anmerkung
Roaming Profiles und System/Network Policies sind fortgeschrittene Themen der Netzwerk-Verwaltung, die in den Kapiteln ??? und ??? behandelt werden. Jedoch sind diese Themen für einen Samba-PDC nicht so entscheidend, da sie eng mit den Windows NT-Netzwerk-Konzepten zusammenhängen.
Ein Domänencontroller ist ein SMB/CIFS-Server, der:
sich selbst als Domänencontroller registriert und anbietet (sowohl durch NetBIOS-Broadcasts als auch durch verschiedene Namensregistrierungen, entweder durch Mailslot-Broadcasts über UDP-Broadcasts, einen WINS-Server über UDP-Unicast oder über DNS und Active Directory).
den NETLOGON-Dienst anbietet. (Dies ist tatsächlich eine Sammlung von Diensten, die über mehrere Protokolle laufen. Zu ihnen zählen der LanMan-Logon-Dienst, der Netlogon-Dienst, der Local-Security-Account-Dienst und Abwandlungen dieser Dienste.)
eine Freigabe namens NETLOGON anbietet.
Es ist ziemlich einfach, Samba so zu konfigurieren, dass er all dies zur Verfügung stellt. Jeder Samba-Domänencontroller muss den NETLOGON-Dienst anbieten, der von Samba als domain logons-Funktionalität bezeichnet wird (nach dem Parameter in der smb.conf-Datei). Außerdem muss ein Server in einer Samba-3-Domäne sich selbst als Domain Master Browser bekannt geben [3]. Dies veranlasst den PDC dazu, einen domänen-spezifischen NetBIOS-Namen zu beanspruchen, der ihn als Domain Master Browser für die gegebene Domäne/Workgroup identifiziert. Lokale Master Browser in derselben Domäne/Workgroup und in broadcast-isolierten Subnetzen erfragen dann eine komplette Kopie der „browse list“ für das gesamte WAN. Browser-Clients kontaktieren daraufhin ihren lokalen Master Browser und erhalten die „browse list“ der gesamten Domäne statt nur der Liste für ihr broadcast-isoliertes Subnetz.
Der erste Schritt, um einen funktionierenden Samba-PDC zu erstellen, besteht darin, die nötigen Parameter in smb.conf zu verstehen. Ein Beispiel einer smb.conf für einen PDC finden Sie in ???.
Beispiel 5.1. smb.conf, um einen PDC einzurichten
Die grundlegenden Optionen, die in ??? gezeigt werden, werden wie folgt erklärt:
- passdb backend
Dies enthält sämtliche Information zu Benutzer- und Gruppenkonten. Akzeptable Werte für einen PDC sind: smbpasswd, tdbsam und ldapsam. Der „guest“-Eintrag stellt Standard-Konten zur Verfügung und ist standardmäßig vorhanden, es besteht keine Notwendigkeit, ihn explizit hinzuzufügen. Wo der Einsatz von Backup-Domänen-Controllern (BDCs) beabsichtigt ist, ist die einzige logische Wahl die Verwendung von LDAP, so dass die passdb verteilt werden kann. Die tdbsam- und smbpasswd-Dateien können nicht effektiv verteilt werden und sollten daher nicht verwendet werden.
- Parameter zur Domänen-Verwaltung
Die Parameter os level, preferred master, domain master, security, encrypt passwords und domain logons spielen eine wichtige Rolle bei der Unterstützung von Domänen-Kontrolle und Netzwerk-Anmeldung.
Das os level muss auf einen Wert von mindestens 32 gesetzt werden. Ein Domänencontroller muss auch der Domänen-Master-Browser sein, er muss auf user mode security gesetzt sein, muss MS-kompatibel verschlüsselte Passwörter unterstützen und muss den Netzwerk-Anmelde-Dienst (Domänen-Anmeldungen) anbieten. Verschlüsselte Passwörter müssen aktiviert sein. Mehr Details dazu finden Sie in ???.
- Umgebungsparameter
Die Parameter logon path, logon home, logon drive und logon script sind Umgebungseinstellungen, die dabei helfen, Client-Anmeldungen zu ermöglichen, und die automatisierte Kontrollmechanismen zur Verfügung stellen, um Overheads im Netzwerk-Management zu verringern. Siehe die Manpage für Informationen zu diesen Parametern.
- NETLOGON-Freigabe
Die NETLOGON-Freigabe spielt eine zentrale Rolle bei der Unterstützung von Domänen-Anmeldungen und Domänen-Mitgliedschaft. Diese Freigabe wird von allen MS-Domänen-Controllern zur Verfügung gestellt. Sie wird dazu verwendet, um Anmelde-Skripts bereitzustellen, um NT Richtlinien-Dateien (wie NTConfig.POL) zu speichern, aber auch, um andere gängige Werkzeuge zur Verfügung zu stellen, die für den Anmeldevorgang gebraucht werden. Dies ist eine essenzielle Freigabe auf einem Domänencontroller.
- PROFILE-Freigabe
Diese Freigabe wird zur Speicherung von Benutzer-Desktop-Profilen verwendet. Jeder Benutzer muss ein Verzeichnis im root-Verzeichnis dieser Freigabe haben. Dieses Verzeichnis muss für den Benutzer Schreibrechte haben und global lesbar sein. Samba-3 hat ein VFS-Modul namens „fake_permissions“, das auf dieser Freigabe installiert werden kann. Das erlaubt es einem Samba-Administrator, das Verzeichnis read-only für jeden zu setzen. Natürlich ist dies nur sinnvoll, nachdem das Profil richtig erstellt worden ist.
Anmerkung
Die obigen Parameter bilden einen vollständigen Satz von Parametern, der den Arbeitsmodus des Servers definiert. Die folgenden smb.conf-Parameter sind die unbedingt notwendigen:
| netbios name = BELERIAND |
| workgroup = MITTELERDE |
| domain logons = Yes |
| domain master = Yes |
| security = User |
Die zusätzlichen Parameter, die in der längeren Auflistung oben gezeigt werden, bedürfen einer weitergehenden Erklärung.
Samba-3 ist kein Active Directory Server und kann sich auch nicht so verhalten. Samba-3 kann nicht wirklich wie ein primärer Domänencontroller von Active Directory funktionieren. Die Protokolle für einige Funktionalitäten von AD-DCs wurden teilweise auf experimenteller Basis implementiert. Bitte erwarten Sie nicht, dass Samba-3 diese Protokolle unterstützt. Verlassen Sie sich nicht auf irgendeine derartige Funktionalität, weder jetzt noch in der Zukunft. Das Samba-Team könnte diese experimentellen Features entfernen oder deren Verhalten verändern. Dies wird erwähnt, um jenen zu helfen, die "geheime" Fähigkeiten von Samba-3 entdeckt haben und danach gefragt haben, wann diese Funktionalitäten vervollständigt sein werden. Die Antwort darauf ist: „Vielleicht bald. Vielleicht nie!“
Um sicher zu sein: Samba-3 wurde entworfen, um den größten Teil der Funktionalität zur Verfügung zu stellen, die MS Windows NT4-artige Domänencontroller anbieten. Samba-3 hat nicht alle Fähigkeiten von Windows NT4, aber es hat einige Eigenschaften, die Windows NT4-DCs nicht haben. Kurz gesagt, Samba-3 ist nicht NT4, Samba-3 ist nicht Windows Server 200x, Samba-3 ist kein AD-Server. Wir hoffen, dass dies kurz und einfach genug ist, um für alle verständlich zu sein.
Das Thema der Domänen- oder Netzwerk-Anmeldung wird hier behandelt, weil es einen integralen Teil der essenziellen Funktionen eines Domänencontrollers darstellt.
Alle Domänencontroller müssen den netlogon-Dienst ausführen (domain logons in Samba). Ein Domänencontroller muss mit domain master = Yes konfiguriert werden (der PDC); auf allen BDCs muss domain master = No gesetzt werden.
Um es unmissverständlich auszudrücken: Es ist NICHT MÖGLICH, einen Rechner mit MS Windows XP Home Edition in Ihre MS Windows NT4- oder ADS-Domäne zu integrieren. Die einzige Möglichkeit ist der Erwerb eines Upgrades von MS Windows XP Home Edition auf MS Windows XP Professional.
Anmerkung
MS Windows XP Home Edition besitzt nicht die Fähigkeit, sich jeglicher Art von Domäne anzuschließen. Im Unterschied zu MS Windows 9x/Me fehlt MS Windows XP Home Edition auch völlig die Fähigkeit, sich an einem Netz anzumelden.
Wir haben es Ihnen gesagt, fragen Sie also bitte NICHT auf der Samba-Mailing-Liste oder mailen Sie auch NICHT an die Mitglieder des Samba-Teams, um zu erkunden, wie dies machbar wäre. Es ist NICHT MÖGLICH. Wenn es möglich ist, dann würde es Ihr Software-Lizenz-Abkommen mit Microsoft verletzen, und wir empfehlen, dies NICHT zu tun.
Eine Domäne und eine Arbeitsgruppe sind in den Begriffen des Netzwerk-Suchdienstes exakt dasselbe. Der Unterschied ist, dass mit einer Domäne eine verteilbare Anmelde-Datenbank verknüpft ist, die für sichere Anmeldungen an einem Netzwerk dient. Außerdem können andere Zugriffsberechtigungen an Benutzer vergeben werden, wenn sie sich erfolgreich an einem Domänen-Logon-Server anmelden. Samba-3 tut dies nun in derselben Weise wie MS Windows NT/200x.
Der SMB-Client, der sich an einer Domäne anmeldet, erwartet, dass jeder beliebige Server in der Domäne dieselbe Anmelde-Information akzeptiert. Die Netzwerk-Such-Funktionalität von Domänen und Arbeitsgruppen ist identisch und wird in dieser Dokumentation in den Abschnitten zum Browsing erklärt. Wir möchten anmerken, dass sich das Browsing völlig orthogonal zur Unterstützung von Anmeldungen verhält.
In diesem Abschnitt behandeln wir Themen in Bezug auf das Single-Logon-Netzwerk-Modell. Samba unterstützt Domänen-Anmeldungen, Netzwerk-Anmelde-Skripts und Benutzerprofile für MS Windows for Workgroups- und MS Windows 9X/ME-Clients, die im Mittelpunkt dieses Abschnitts stehen.
Wenn ein SMB-Client sich in einer Domäne anmelden will, sendet er Anfragen nach einem Anmelde-Server aus. Der erste, der antwortet, bekommt den Job und überprüft das Passwort unter Verwendung jenes Mechanismus, den der Samba-Administrator installiert hat. Es ist möglich (wird aber nicht empfohlen), eine Domäne anzulegen, in der die Benutzerdatenbank nicht von den Servern geteilt wird, d.h., sie sind effektiv Arbeitsgruppen-Server, die sich als Teilnehmer an einer Domäne bewerben. Dies demonstriert, wie sehr sich die Authentifikation einerseits von Domänen unterscheidet, dass sie andererseits aber eng mit ihnen verknüpft ist.
Unter Verwendung dieser Eigenschaften können Sie Ihre Clients ihre Anmeldung via Samba-Server überprüfen lassen und sie dazu veranlassen, bei der Netzwerkanmeldung ein Skript auszuführen und ihre Einstellungen, Desktops und Startmenüs herunterzuladen.
MS Windows XP Home Edition ist nicht fähig, sich einer Domäne anzuschließen, und erlaubt keine Verwendung von Domänenanmeldungen.
Bevor wir mit den Konfigurationsanleitungen beginnen, lohnt es sich, sich anzusehen, wie ein Windows 9x/Me-Client eine Anmeldung durchführt:
Der Client versendet über einen Broadcast (an die IP-Broadcast-Adresse des Subnetzes, in dem er sich befindet) eine NetLogon-Anfrage. Diese wird an den NetBIOS-Namen DOMÄNE<#1c> auf dem NetBIOS-Layer gesandt. Der Client wählt die erste Antwort, die er erhält, die den NetBIOS-Namen des zu verwendenden Anmeldeservers im Format \\SERVER enthält.
Der Client verbindet sich mit diesem Server, meldet sich an (führt ein SMBsessetupX aus) und verbindet sich dann mit der IPC$-Freigabe (unter Verwendung eines SMBtconX).
Der Client führt eine Anfrage vom Typ NetWkstaUserLogon aus, die den Namen des Anmeldeskripts des Benutzers zurückgibt.
Der Client verbindet sich dann mit der Netlogon-Freigabe und sucht nach dem angegebenen Skript. Wenn es gefunden wird und gelesen werden kann, wird es geladen und vom Client ausgeführt. Danach trennt der Client die Verbindung mit der Netlogon-Freigabe.
Der Client sendet eine Anfrage vom Typ NetUserGetInfo an den Server, um die Home-Freigabe des Benutzers zu erhalten, die dazu benutzt wird, um nach Profilen zu suchen. Da die Antwort auf die NetUserGetInfo-Anfrage nicht viel mehr enthält als die Home-Freigabe des Benutzers, müssen Profile für Windows 9x-Clients im Home-Verzeichnis des Benutzers liegen.
Der Client verbindet sich mit der Home-Freigabe des Benutzers und sucht nach dem Benutzerprofil. Wie sich herausstellt, können Sie die Home-Freigabe als Freigabe und Pfad angeben, zum Beispiel als \\server\fred\.winprofile. Wenn die Profile gefunden werden, werden sie eingebunden.
Der Client trennt die Verbindung mit der Home-Freigabe des Benutzers und verbindet sich wieder mit der Netlogon-Freigabe und sucht nach CONFIG.POL, der Policies-Datei. Wenn diese gefunden wird, wird sie gelesen und eingebunden.
Der Hauptunterschied zwischen einem PDC und einem Windows 9x/Me-Anmelde-Server ist:
Die Verschlüsselung von Passwörtern ist für einen Windows 9x/Me-Anmelde-Server nicht notwendig. Aber denken Sie daran, dass seit MS Windows 98 die Standardeinstellung besagt, dass die Unterstützung von Klartext-Passwörtern deaktiviert ist. Sie kann mit den in ??? beschriebenen Änderungen aktiviert werden.
Windows 9x/Me-Clients benötigen und benutzen KEINE Maschinen-Vertrauenskonten.
Ein Samba-PDC wird sich wie ein Windows 9x/Me-Anmelde-Server verhalten; schließlich stellt er all die Anmelde-Dienste zur Verfügung, die MS Windows 9x/Me erwartet.
Anmerkung
Von der Verwendung von Klartext-Passwörtern wird dringend abgeraten. Wo immer sie verwendet werden, können sie ganz einfach mit Netzwerk-Sniffern abgehört werden.
Wir müssen noch ein paar Anmerkungen machen, um einige offene Fragen zu klären. Es gab viele Diskussionen darüber, ob es richtig sei, Samba als Domänencontroller in anderen Sicherheitsmodi als „user“ zu konfigurieren. Der einzige Modus, der aus technischen Gründen nicht funktionieren wird, ist der Modus der Freigaben-Sicherheit. Domänen- und Server-Modus-Sicherheit sind in Wirklichkeit einfach nur Abwandlungen der SMB-Benutzer-Ebenen-Sicherheit.
Tatsächlich hängt dieses Thema auch eng mit der Debatte zusammen, ob Samba der Domänen-Master-Browser für seine Domäne sein muss, wenn er als DC arbeitet. Auch wenn es technisch möglich sein mag, einen Server so zu konfigurieren (schließlich sind Browsing und Domänenanmeldungen zwei völlig verschiedene Funktionen), ist es doch keine gute Idee, dies zu tun. Sie sollten sich daran erinnern, dass der DC den DOMAIN<#1b> NetBIOS-Namen registrieren muss. Dies ist der Name, der von den Windows-Clients verwendet wird, um den DC ausfindig zu machen. Windows-Clients unterscheiden nicht zwischen dem DC und dem DMB. (Ein DMB ist ein Domänen-Master-Browser siehe ???.) Aus diesem Grunde ist es ratsam, den Samba DC auch als DMB zu konfigurieren.
Kommen wir nun zu dem Thema zurück, wie man einen Samba-DC so konfiguriert, dass er einen Modus verwendet, der von security = user abweicht. Wenn ein Samba-Rechner so konfiguriert ist, dass er einen anderen SMB-Server oder -DC verwendet, um Benutzeranmeldungen zu prüfen, dann ist es ein Faktum, dass irgendeine andere Maschine in diesem Netz (der password server) mehr über den Benutzer weiß, als der Samba-Rechner. In ungefähr 99% der Fälle ist dieser Rechner ein DC. Um nun im Domänen-Sicherheitsmodus zu arbeiten, ist es notwendig, den workgroup-Parameter auf den Namen der Windows NT-Domäne zu setzen (die bereits einen DC hat). Wenn die Domäne noch keinen DC hat, haben Sie noch keine Domäne.
Das Konfigurieren von Samba als DC für eine Domäne, die (per Definition) bereits einen PDC hat, bedeutet, sich seine Probleme selbst heraufzubeschwören. Deshalb sollten Sie den Samba-DC immer als DMB für seine Domäne konfigurieren und security = user setzen. Dies ist der einzige offiziell unterstützte Arbeitsmodus.
Ein Maschinenkonto, üblicherweise in /etc/passwd gespeichert, hat die Form des Maschinennamens, dem ein „$“ folgt. FreeBSD (und andere BSD-Systeme) legen keinen Benutzer mit einem „$“ im Namen an.
Das Problem liegt nur im Programm, das zum Anlegen des Eintrags verwendet wird. Einmal angelegt, funktioniert es perfekt. Legen Sie einen Benutzer ohne das „$“ an. Benutzen Sie dann den Befehl vipw, um den Eintrag zu editieren bzw. das „$“ hinzuzufügen. Oder legen Sie den ganzen Eintrag mit vipw an, wenn Sie wollen; stellen Sie sicher, dass Sie eine einmalige Benutzer-ID (UID) verwenden.
Anmerkung
Das Maschinen-Konto muss exakt den gleichen Namen wie die Workstation haben.Anmerkung
Das UNIX-Tool vipw ist ein übliches Werkzeug für das direkte Editieren der Datei /etc/passwd.
„Ich bekomme "You already have a connection to the Domain...." oder "Cannot join domain, the credentials supplied conflict with an existing set...", wenn ich ein Maschinen-Vertrauenskonto anlegen will.“
Dies passiert, wenn Sie versuchen, ein Maschinen-Vertrauenskonto von der betreffenden Maschine aus anzulegen, und bereits eine bestehende Verbindung (wie z.B. ein verbundenes Netzlaufwerk) zu einer Freigabe (oder zu IPC$) auf dem Samba-PDC haben. Der folgende Befehl trennt alle bestehenden Netzlaufwerksverbindungen:
C:\> net use * /d
Wenn die Maschine bereits ein „Mitglied einer Arbeitsgruppe“ ist, die denselben Namen hat wie die Domäne, der Sie sich anschließen wollen (schlechte Idee), werden Sie dieselbe Meldung erhalten. Ändern Sie den Namen der Arbeitsgruppe in etwas anderes, egal was, rebooten Sie, und versuchen Sie es erneut.
„Ich schloss mich erfolgreich der Domäne an, aber nach dem Upgrade auf eine neue Samba-Release bekomme ich die Meldung "The system cannot log you on (C000019B), Please try again or consult your system administrator", wenn ich versuche, mich anzumelden.“
Dies geschieht, wenn der Domänen-SID, der in der secrets.tdb-Datenbank gespeichert ist, geändert wird. Die häufigste Ursache für eine Änderung ist die Änderung des Domänen-Namens und/oder des Server-Namens (NetBIOS-Namens). Die einzige Lösung ist es, den originalen Domänen-SID wiederherzustellen oder den Domänen-Client aus der Domäne zu entfernen und neu einzubinden. Der Domänen-SID kann mit dem net- oder rpcclient-Werkzeug zurückgesetzt werden.
Zum Zurücksetzen oder Ändern des Domänen-SID können Sie den net-Befehl wie folgt verwenden:
root# net getlocalsid 'OLDNAME' root# net setlocalsid 'SID'
Maschinen-Vertrauenskonten von Workstations arbeiten nur mit dem Domänen-SID (Netzwerk-SID). Wenn dieser SID sich ändert, können sich Domänen-Mitglieder (Workstations) nicht in der Domäne anmelden. Der originale Domänen-SID kann aus der secrets.tdb-Datenbank wiederhergestellt werden. Die Alternative ist es, jede einzelne Workstation aufzusuchen und neu an die Domäne anzuschließen.
„Wenn ich versuche, mich der Domäne anzuschließen, bekomme ich die Nachricht "The machine account for this computer either does not exist or is not accessible". Was ist falsch?“
Dieses Problem wird dadurch verursacht, dass der PDC kein passendes Maschinen-Vertrauenskonto bereitstellt. Wenn Sie die add machine script-Methode zum Anlegen von Konten verwenden, ist dies ein Zeichen dafür, dass diese Methode nicht funktioniert hat. Stellen Sie sicher, dass der Benutzer des Domänen-Administrators richtig arbeitet.
Außerdem: Wenn Sie Konten von Hand erstellen, dann wurden diese nicht korrekt erstellt. Stellen Sie sicher, dass Sie den Eintrag für das Maschinen-Vertrauenskonto in der Datei smbpasswd auf dem Samba-PDC korrekt erstellt haben. Wenn Sie den Eintrag mit einem Editor erstellt haben, anstatt das Programm smbpasswd zu verwenden, sollten Sie kontrollieren, dass der Name des Kontos dem NetBIOS-Namen der Maschine entspricht, gefolgt von einem „$“ (z.B. computer_name$). Es muss je einen Eintrag in /etc/passwd und in der Datei smbpasswd geben.
Manche Benutzer haben auch berichtet, dass inkonsistente Subnetz-Masken zwischen dem Samba-Server und dem NT-Client dieses Problem verursachen können. Stellen Sie sicher, dass diese Masken für Client und Server übereinstimmen.
„Wenn ich versuche, mich einer Domäne von einer NT4/W200x-Workstation aus anzuschlie?en, bekomme ich die Nachricht, dass mein Konto deaktiviert wird.“
Aktivieren Sie die Benutzer-Konten mit smbpasswd -e Benutzername. Dies wird normalerweise beim Anlegen eines Kontos ausgeführt.
„Ein paar Minuten, nachdem Samba gestartet worden ist, bekommen die Clients den Fehler "Domain Controller Unavailable"“.
Ein Domänencontroller muss seine Rolle im Netzwerk bekannt geben. Dies braucht üblicherweise eine Weile. Haben Sie bis zu 15 Minuten Geduld, versuchen Sie es dann nochmals.
Nach dem erfolgreichen Beitritt zu einer Domäne scheitern Benutzeranmeldungen mit einer von zwei Meldungen: die eine besagt, dass der DC nicht gefunden werden könne, die andere behauptet, dass das Konto nicht in der Domäne existiere bzw. dass das Passwort falsch sei. Dies kann durch imkompatible Einstellungen zwischen dem Windows-Client und dem Samba-3-Server verursacht werden, und zwar durch die schannel- (secure channel) oder smb signing-Einstellungen. Prüfen Sie die Einstellungen client schannel, server schannel, client signing, server signing durch das Ausführen von:
testparm -v | more
und prüfen Sie die Werte dieser Parameter.
Benutzen Sie auch die Microsoft Management Console Local Security Settings. Dieses Werkzeug ist in der Systemsteuerung verfügbar. Die Policy-Einstellungen finden Sie im Bereich "Local Policies/Security Options": Sie erkennen Sie am Präfix Secure Channel: ..., and Digitally sign .....
Es ist wichtig, dass diese Einstellungen genauso gesetzt sind wie die des Samba-3-Servers.