Artikel in Serie SAMBA4

SAMBA4 Domain Controller zu existierender W2012R2 AD Domäne hinzufügen

Hinweis: Bei Verwendung der paketierten Version von SAMBA ändern sich die Pfade von /usr/local/samba zu den entsprechenden in /usr und /var.Insbesondere wird der Dienst nicht mit /usr/local/samba/sbin/samba gestartet (bzw. mit samba) sondern mit

systemctl start samba-ad-dc

Szenario

Ich habe eine Windows-Domäne MYDOM.LOCAL mit einem oder mehreren Domain Controllern (DC) mit Windows Server 2012R2 als Betriebssystem.

Ich will einen Domain Controller mit Debian GNU/Linux „jessie/sid“ als Betriebssystem und SAMBA4 hinzufügen.

Ein existierender DC mit W2012R2 hat die IP 192.168.2.5 und heisst WINDC.MYDOM.LOCAL.

Der neue DC mit SAMBA4 hat die IP 192.168.2.6 und soll LINDC.MYDOM.LOCAL heissen.

Weiterlesen … »

Anmeldung von AD-Domänenbenutzern auf Linux mit SSSD und PAM

Szenario

Ich habe (wie in meinem früheren Artikel „SAMBA4 Domain Controller zu existierender W2012R2 AD Domäne hinzufügen“ beschrieben) eine 2008R2 AD Domäne MYDOM.LOCAL mit mindestens einem Domain Controller, LINDC.MYDOM.LOCAL (Debian GNU/Linux „jessie/sid“ mit SAMBA4 aus GIT).

Auf LINDC möchte ich nun auch die Benutzerkonten des Active Directory bei der Anmeldung zur Verfügung stehen haben. Das möchte ich mit dem System Security Services Daemon (SSSD) und Pluggable Authentication Modules (PAM) lösen.

Weiterlesen … »

Active Directory Member Server mit SAMBA4 und PAM-Winbind

Szenario

Ich habe mit Windows Server 2012R2 und SAMBA4 eine Active-Directory-Domäne MYDOM.LOCAL aufgebaut.

Ich möchte mit SAMBA4 einen Dateiserver mit dem Namen LINFS als „Member Server“ zu dieser Domäne hinzufügen. Das Betriebssystem ist Debian GNU/Linux „jessie/sid“; die verwendete Version von SAMBA4 ist 4.1.12.

AD-Domänenbenutzer sollen sich auch per SSH auf LINFS.MYDOM.LOCAL anmelden können, um dort Dateien direkt zu bearbeiten.

Ziel dieses Tutorials soll es sein, einen funktionstüchtigen Server mit SAMBA4 in einer AD-Domäne zu implementieren, auf dem sich AD-Benutzer auch anmelden können, um Dateien direkt zu bearbeiten oder Linux-Anwendungen zu benutzen.

Damit sind die Grundlagen geschaffen, um eine Serverlandschaft für AD-Domänen mit SAMBA4 zu verwirklichen. Spezialprobleme wie Druckerfreigaben, Terminal-Dienste, Netlogon-Skripten, einheitliche Home-Verzeichnisse usw. können danach auf dieser Grundlage behandelt werden.

Weiterlesen … »

AD-Precreation using ktutil, kinit and adcli

Using computer object precreation you can enable machines to join an Active Directory domain with knowledge of just one dedicated one-time-password. Combined with delegation you can offload management of computer objects to an otherwise unprivileged AD user.

Weiterlesen … »

Taking an Online Backup of a SAMBA-4 ActiveDirectory

Notes:

  • The following procedure is available starting with SAMBA version 4.9.
  • The procedure can be performed on a host that is unrelated to the domain, but one domain controller must be reachable, must be used as a nameserver at the time of the backup and have open ports for DNS (53/tcp and /udp) SSH (22/tcp), LDAP (389/tcp), Kerberos (88/tcp and udp) and SMB (445/tcp).

1. On the machine that will be used to perform the backup, if not already present, install SAMBA.

apt -y install samba

2. Get the current smb.conf from the DC you want to query:

scp dc01.ad.example.com:/etc/samba/smb.conf ./smb.conf.dc01

3. Create a backup output directory:

mkdir samba-domain-backup

4. Ensure that /etc/resolv.conf contains the IP address of dc01 as the nameserver.

5. Perform the backup:

samba-tool domain backup online \
    --server=dc01.ad.example.com \
    --configfile=smb.conf.dc01 \
    --realm=AD.EXAMPLE.COM \
    --username=administrator@AD.EXAMPLE.COM \
    --targetdir=samba-domain-backup